CRITICAL🇬🇧 English

CVE-2023-51803

Wykonanie kodu PHP przez osadzenie payloadu w ikonie w Heimdall

CVSS 9.8v3.1pub. 2024-04-01upd. 2026-04-15

Aplikacja Heimdall w wersjach przed 2.5.7 nie waliduje poprawnie zawartości plików graficznych używanych jako ikony, co pozwala na przesłanie pliku zawierającego kod PHP. Jest to podatność krytyczna, umożliwiająca atakującemu zdalne wykonanie kodu na serwerze.

Pokaż oryginał (EN)

LinuxServer.io Heimdall before 2.5.7 does not prevent use of icons that have non-image data such as the "<?php ?>" substring.

🤖 Analiza AI
Jak działa

Aplikacja Heimdall nie sprawdza, czy przesłany plik ikony zawiera wyłącznie dane obrazu. Atakujący może przesłać plik zawierający osadzony kod PHP (np. substring '<?php ?>') jako ikonę aplikacji. Serwer, interpretując taki plik jako skrypt PHP, może wykonać zawarty w nim złośliwy kod. Podatność wynika z braku filtrowania niedozwolonej zawartości w przesyłanych plikach (CWE-674 — nieprawidłowa rekurencja lub nieprawidłowe przetwarzanie danych wejściowych).

Skutki

Atakujący może uzyskać zdalne wykonanie kodu (RCE) na serwerze hostującym aplikację Heimdall, co w praktyce oznacza pełne przejęcie kontroli nad środowiskiem serwera — naruszenie poufności, integralności oraz dostępności systemu.

Mitygacja

Należy zaktualizować aplikację Heimdall do wersji 2.5.7 lub nowszej, w której wprowadzono walidację przesyłanych plików ikon. Szczegóły dostępne w oficjalnym wydaniu: https://github.com/linuxserver/Heimdall/releases/tag/v2.5.7

Kogo dotyczy

LinuxServer.io Heimdall w wersjach wcześniejszych niż 2.5.7

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje