Mocodo Online w wersji 4.2.6 i wcześniejszych zawiera krytyczną podatność umożliwiającą zdalne wykonanie kodu (RCE) poprzez endpoint /web/rewrite.php. Atakujący bez uwierzytelnienia i bez interakcji użytkownika może przejąć kontrolę nad serwerem.
▸ Pokaż oryginał (EN)
Mocodo Mocodo Online 4.2.6 and below is vulnerable to Remote Code Execution via /web/rewrite.php.
Podatność sklasyfikowana jako CWE-75 (niewłaściwa neutralizacja specjalnych elementów w danych wejściowych) dotyczy pliku rewrite.php w komponencie webowym aplikacji. Nieodpowiednia walidacja lub sanityzacja danych wejściowych przekazywanych do tego endpointu pozwala na wstrzyknięcie i wykonanie złośliwego kodu po stronie serwera. Wektor ataku jest sieciowy, nie wymaga żadnych uprawnień ani interakcji ze strony ofiary.
Atakujący może uzyskać pełną kontrolę nad serwerem — w tym dostęp do poufnych danych, możliwość modyfikacji plików oraz zakłócenie dostępności usługi (pełne naruszenie poufności, integralności i dostępności).
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu aktualizacji zaleca się ograniczenie dostępu do endpointu /web/rewrite.php na poziomie firewall lub serwera WWW oraz unikanie publicznego wystawiania instancji aplikacji.
Mocodo Mocodo Online w wersji 4.2.6 oraz wszystkich wcześniejszych wersjach.
Szczegóły techniczne podatności zostały opublikowane przez badacza bezpieczeństwa pod adresem chocapikk.com wraz ze wskazaniem konkretnej linii kodu źródłowego (rewrite.php, linia 45) w repozytorium GitHub producenta.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HMocodo Online
APPMocodo≤ 4.2.6