Softaculous Webuzo zawiera krytyczną podatność typu authentication bypass w mechanizmie resetowania hasła. Nieuwierzytelniony, zdalny atakujący może wykorzystać tę lukę do uzyskania pełnego dostępu do serwera z uprawnieniami użytkownika root.
▸ Pokaż oryginał (EN)
Softaculous Webuzo contains an authentication bypass vulnerability through the password reset functionality. Remote, anonymous attackers can exploit this vulnerability to gain full server access as the root user.
Podatność wynika z nieprawidłowej weryfikacji warunków (CWE-697) podczas obsługi procesu resetowania hasła. Mechanizm ten nie sprawdza poprawnie tożsamości żądającego, co pozwala anonimowemu atakującemu na pominięcie standardowego uwierzytelnienia. W efekcie napastnik może zresetować hasło w sposób nieautoryzowany i przejąć kontrolę nad systemem.
Atakujący uzyskuje pełny dostęp do serwera z uprawnieniami użytkownika root, co oznacza możliwość przejęcia całkowitej kontroli nad systemem, odczytu i modyfikacji danych oraz instalacji dowolnego oprogramowania.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Szczegóły techniczne podatności oraz zalecenia zostały opublikowane przez Exodus Intel w dniu 25 lipca 2024 r. pod adresem: https://blog.exodusintel.com/2024/07/25/softaculous-webuzo-authentication-bypass/
Softaculous Webuzo — wersje wskazane w referencjach producenta
Szczegółowy opis techniczny podatności opublikowało Exodus Intel w dniu 25 lipca 2024 r. (zbieżnym z datą publikacji CVE), co wskazuje na skoordynowane ujawnienie (coordinated disclosure).
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HSoftaculous Webuzo
APPSoftaculous< 4.2.9
Powiązane podatności
Softaculous Webuzo contains a command injection in the password reset functionality. A remote, authenticated a...
Softaculous Webuzo contains a command injection vulnerability in the FTP management functionality. A remote, a...
index.php in Softaculous Webuzo before 2.1.4 allows remote attackers to execute arbitrary commands via shell m...
The login function in Softaculous Webuzo before 2.1.4 provides different error messages for invalid authentica...
Cross-site scripting (XSS) vulnerability in filemanager/login.php in the File Manager module in Softaculous We...