Platforma zarządzania Epross AVCON6 zawiera podatność na wstrzyknięcie wyrażeń OGNL (Object-Graph Navigation Language), umożliwiającą nieuwierzytelnionym atakującym zdalne wykonanie dowolnych poleceń systemowych. Luka jest krytyczna, ponieważ nie wymaga żadnego uwierzytelnienia i pozwala na przejęcie pełnej kontroli nad systemem z uprawnieniami root.
▸ Pokaż oryginał (EN)
Epross AVCON6 systems management platform contains an object-graph navigation language (OGNL) injection vulnerability that allows unauthenticated attackers to execute arbitrary commands by injecting malicious OGNL expressions. Attackers can send crafted requests to the login.action endpoint with OGNL payloads in the redirect parameter to instantiate ProcessBuilder objects and execute system commands with root privileges.
Atakujący wysyła spreparowane żądanie HTTP do endpointu login.action, umieszczając złośliwe wyrażenie OGNL w parametrze redirect. Platforma przetwarza przekazany parametr bez odpowiedniej walidacji, co pozwala na wstrzyknięcie i wykonanie arbitralnego kodu po stronie serwera. Poprzez wyrażenie OGNL atakujący może tworzyć instancje obiektów ProcessBuilder i za ich pomocą wykonywać dowolne polecenia systemowe z uprawnieniami root.
Nieuwierzytelniony atakujący może uzyskać pełną kontrolę nad systemem, wykonując dowolne polecenia z uprawnieniami root, co może prowadzić do całkowitego przejęcia serwera, kradzieży danych oraz dalszego ruchu wewnątrz sieci (lateral movement).
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo, do czasu wdrożenia poprawki, zaleca się ograniczenie dostępu sieciowego do endpointu login.action za pomocą firewall lub reguł ACL oraz monitorowanie żądań zawierających podejrzane wartości parametru redirect.
Platforma zarządzania Epross AVCON6 — konkretne wersje wskazane w referencjach producenta i doradczych VulnCheck
Publicznie dostępny exploit dla tej podatności znajduje się w bazie Exploit-DB (https://www.exploit-db.com/exploits/47379), co istotnie zwiększa ryzyko wykorzystania luki w środowiskach produkcyjnych pomimo braku wpisu w CISA KEV.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X