Krytyczna podatność w platformie Panalog firmy Beijing Panabit Network Software Co., Ltd umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnego kodu. Ze względu na brak wymagań dotyczących uwierzytelnienia i pełen wpływ na poufność, integralność i dostępność, zagrożenie jest oceniane jako krytyczne (CVSS 9.8).
▸ Pokaż oryginał (EN)
An issue in Beijing Panabit Network Software Co., Ltd Panalog big data analysis platform v. 20240323 and before allows attackers to execute arbitrary code via the exportpdf.php component.
Podatność dotyczy komponentu exportpdf.php wchodzącego w skład platformy Panalog do analizy dużych zbiorów danych. Atakujący może wysłać odpowiednio spreparowane żądanie do tego komponentu bez konieczności posiadania jakichkolwiek uprawnień. W wyniku tego możliwe jest wykonanie dowolnego kodu na serwerze, na którym działa aplikacja.
Atakujący może przejąć pełną kontrolę nad serwerem, uzyskując dostęp do przechowywanych danych, modyfikując je lub powodując niedostępność systemu. Podatność umożliwia kompletne naruszenie poufności, integralności i dostępności platformy.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się pilne odizolowanie systemu od sieci publicznej oraz ograniczenie dostępu do komponentu exportpdf.php na poziomie firewall lub serwera WWW do czasu wdrożenia aktualizacji.
Beijing Panabit Network Software Co., Ltd Panalog — platforma analizy dużych zbiorów danych w wersji 20240323 i wcześniejszych.
Referencje wskazują na repozytorium GitHub użytkownika tianqing191, który prawdopodobnie jest odkrywcą podatności. Brak szczegółowych informacji technicznych w dostępnych źródłach.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H