IBOS w wersji 4.5.5 zawiera podatność pozwalającą nieuwierzytelnionemu atakującemu na usunięcie dowolnego pliku na serwerze. Podatność sklasyfikowana jako krytyczna (CVSS 9.1) stanowi poważne zagrożenie dla integralności i dostępności systemu.
▸ Pokaż oryginał (EN)
IBOS v4.5.5 has an arbitrary file deletion vulnerability via \system\modules\dashboard\controllers\LoginController.php.
Podatność typu CWE-459 (Incomplete Cleanup) zlokalizowana jest w pliku \system\modules\dashboard\controllers\LoginController.php. Atakujący, bez konieczności posiadania jakichkolwiek uprawnień ani interakcji ze strony użytkownika, może za pośrednictwem sieci wysłać odpowiednio spreparowane żądanie, które spowoduje usunięcie wskazanego przez niego pliku na serwerze. Brak mechanizmów walidacji lub odpowiedniej sanityzacji danych wejściowych umożliwia manipulację ścieżką usuwanego pliku.
Atakujący może usunąć dowolny plik dostępny dla procesu serwera WWW, co może prowadzić do zakłócenia działania aplikacji, utraty danych lub naruszenia integralności systemu. Wektory CVSS wskazują na wysoki wpływ na integralność (I:H) oraz dostępność (A:H) systemu.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się śledzenie oficjalnego repozytorium projektu IBOS pod adresem https://gitee.com/ibos/IBOS w celu uzyskania aktualizacji. Do czasu zastosowania poprawki rekomenduje się ograniczenie dostępu sieciowego do panelu logowania oraz monitorowanie nieoczekiwanych operacji na plikach systemowych.
IBOS w wersji 4.5.5
Szczegóły techniczne podatności zostały opublikowane w repozytorium GitHub pod adresem https://github.com/A7cc/cve/issues/1, co oznacza publiczną dostępność informacji o podatności.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:HIbos
APPIbos4.5.5
Powiązane podatności
In IBOS 4.5.4 Open, Arbitrary File Inclusion causes getshell via /system/modules/dashboard/controllers/CronCon...
In IBOS 4.5.4 Open, the database backup has Command Injection Vulnerability.
A vulnerability, which was classified as critical, was found in IBOS OA 4.5.5. This affects an unknown part of...
A vulnerability, which was classified as critical, has been found in IBOS OA 4.5.5. Affected by this issue is ...
A vulnerability has been found in IBOS OA 4.5.5 and classified as critical. This vulnerability affects unknown...