CRITICAL🇬🇧 English

CVE-2024-35373

RCE w Mocodo Online — podatny endpoint rewrite.php

CVSS 9.8v3.1pub. 2024-05-24upd. 2025-06-10

Mocodo Online w wersji 4.2.6 i wcześniejszych zawiera krytyczną podatność umożliwiającą zdalne wykonanie kodu (RCE) poprzez endpoint /web/rewrite.php. Atakujący bez uwierzytelnienia i bez interakcji użytkownika może przejąć kontrolę nad serwerem.

Pokaż oryginał (EN)

Mocodo Mocodo Online 4.2.6 and below is vulnerable to Remote Code Execution via /web/rewrite.php.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-75 (niewłaściwa neutralizacja specjalnych elementów w danych wejściowych) dotyczy pliku rewrite.php w komponencie webowym aplikacji. Nieodpowiednia walidacja lub sanityzacja danych wejściowych przekazywanych do tego endpointu pozwala na wstrzyknięcie i wykonanie złośliwego kodu po stronie serwera. Wektor ataku jest sieciowy, nie wymaga żadnych uprawnień ani interakcji ze strony ofiary.

Skutki

Atakujący może uzyskać pełną kontrolę nad serwerem — w tym dostęp do poufnych danych, możliwość modyfikacji plików oraz zakłócenie dostępności usługi (pełne naruszenie poufności, integralności i dostępności).

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu aktualizacji zaleca się ograniczenie dostępu do endpointu /web/rewrite.php na poziomie firewall lub serwera WWW oraz unikanie publicznego wystawiania instancji aplikacji.

Kogo dotyczy

Mocodo Mocodo Online w wersji 4.2.6 oraz wszystkich wcześniejszych wersjach.

Uwagi

Szczegóły techniczne podatności zostały opublikowane przez badacza bezpieczeństwa pod adresem chocapikk.com wraz ze wskazaniem konkretnej linii kodu źródłowego (rewrite.php, linia 45) w repozytorium GitHub producenta.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Mocodo Online

    APP
    Mocodo
    ≤ 4.2.6
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2024-35374CRITICAL9.8PL ✓ten sam produkt

Command Injection / RCE w Mocodo Online przez pole sql_case