CRITICAL🇬🇧 English

CVE-2024-28265

IBOS v4.5.5 — podatność umożliwiająca usunięcie dowolnego pliku

CVSS 9.1v3.1pub. 2024-11-01upd. 2025-07-11

IBOS w wersji 4.5.5 zawiera podatność pozwalającą nieuwierzytelnionemu atakującemu na usunięcie dowolnego pliku na serwerze. Podatność sklasyfikowana jako krytyczna (CVSS 9.1) stanowi poważne zagrożenie dla integralności i dostępności systemu.

Pokaż oryginał (EN)

IBOS v4.5.5 has an arbitrary file deletion vulnerability via \system\modules\dashboard\controllers\LoginController.php.

🤖 Analiza AI
Jak działa

Podatność typu CWE-459 (Incomplete Cleanup) zlokalizowana jest w pliku \system\modules\dashboard\controllers\LoginController.php. Atakujący, bez konieczności posiadania jakichkolwiek uprawnień ani interakcji ze strony użytkownika, może za pośrednictwem sieci wysłać odpowiednio spreparowane żądanie, które spowoduje usunięcie wskazanego przez niego pliku na serwerze. Brak mechanizmów walidacji lub odpowiedniej sanityzacji danych wejściowych umożliwia manipulację ścieżką usuwanego pliku.

Skutki

Atakujący może usunąć dowolny plik dostępny dla procesu serwera WWW, co może prowadzić do zakłócenia działania aplikacji, utraty danych lub naruszenia integralności systemu. Wektory CVSS wskazują na wysoki wpływ na integralność (I:H) oraz dostępność (A:H) systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się śledzenie oficjalnego repozytorium projektu IBOS pod adresem https://gitee.com/ibos/IBOS w celu uzyskania aktualizacji. Do czasu zastosowania poprawki rekomenduje się ograniczenie dostępu sieciowego do panelu logowania oraz monitorowanie nieoczekiwanych operacji na plikach systemowych.

Kogo dotyczy

IBOS w wersji 4.5.5

Uwagi

Szczegóły techniczne podatności zostały opublikowane w repozytorium GitHub pod adresem https://github.com/A7cc/cve/issues/1, co oznacza publiczną dostępność informacji o podatności.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H
  • Ibos

    APP
    Ibos
    4.5.5
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2020-21786CRITICAL9.8ten sam produkt

In IBOS 4.5.4 Open, Arbitrary File Inclusion causes getshell via /system/modules/dashboard/controllers/CronCon...

CVE-2020-21785HIGH8.8ten sam produkt

In IBOS 4.5.4 Open, the database backup has Command Injection Vulnerability.

CVE-2023-4850MEDIUM6.3ten sam produkt

A vulnerability, which was classified as critical, was found in IBOS OA 4.5.5. This affects an unknown part of...

CVE-2023-4849MEDIUM6.3ten sam produkt

A vulnerability, which was classified as critical, has been found in IBOS OA 4.5.5. Affected by this issue is ...

CVE-2023-4851MEDIUM6.3ten sam produkt

A vulnerability has been found in IBOS OA 4.5.5 and classified as critical. This vulnerability affects unknown...