W systemie Znuny oraz Znuny LTS odkryto krytyczną podatność umożliwiającą zalogowanemu użytkownikowi wgranie pliku do dowolnej, zapisywalnej lokalizacji na serwerze za pomocą zmanipulowanego żądania AJAX z path traversal. Jeśli docelowa lokalizacja jest publicznie dostępna przez serwer WWW, możliwe jest zdalne wykonanie kodu (RCE).
▸ Pokaż oryginał (EN)
An issue was discovered in Znuny and Znuny LTS 6.0.31 through 6.5.7 and Znuny 7.0.1 through 7.0.16 where a logged-in user can upload a file (via a manipulated AJAX Request) to an arbitrary writable location by traversing paths. Arbitrary code can be executed if this location is publicly available through the web server.
Zalogowany użytkownik może wysłać zmanipulowane żądanie AJAX do aplikacji, w którym ścieżka docelowa pliku zawiera sekwencje path traversal (np. '../'). Mechanizm przesyłania plików nie weryfikuje poprawnie ścieżki, co pozwala na zapisanie dowolnego pliku poza przeznaczonym katalogiem. Jeżeli wybrany katalog docelowy jest dostępny publicznie przez serwer WWW, wgrany plik (np. skrypt PHP lub inny wykonywalny) może zostać uruchomiony zdalnie, prowadząc do pełnego wykonania kodu na serwerze.
Atakujący z aktywną sesją może doprowadzić do zdalnego wykonania kodu (RCE) na serwerze, co w konsekwencji umożliwia przejęcie pełnej kontroli nad systemem, kradzież danych, modyfikację konfiguracji oraz dalszy lateral movement w sieci.
Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://www.znuny.org/en/advisories/zsa-2024-01). Do czasu wdrożenia poprawki zaleca się ograniczenie dostępu do aplikacji wyłącznie do zaufanych, uwierzytelnionych użytkowników oraz monitorowanie prób przesyłania plików z nietypowymi ścieżkami.
Znuny LTS w wersjach 6.0.31 – 6.5.7 oraz Znuny w wersjach 7.0.1 – 7.0.16
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HZnuny
APPZnuny6.0.31 – 6.5.77.0.1 – 7.0.16
Powiązane podatności
Brak weryfikacji uprawnień w Generic Interface systemu Znuny (eskalacja uprawnień)
Eval Injection w Znuny umożliwia zdalne wykonanie poleceń
Znuny: Ciasteczko sesji bez flagi HttpOnly — ryzyko kradzieży sesji
An issue was discovered in Znuny before 7.1.5. When generating a support bundle, not all passwords are masked.
An issue was discovered in Znuny through 7.1.3. If access to a ticket is not given, the content of S/MIME encr...