Mocodo Online w wersji 4.2.6 i wcześniejszych zawiera podatność typu command injection w polu sql_case endpointu /web/generate.php. Brak odpowiedniej sanityzacji danych wejściowych umożliwia zdalnym atakującym wykonanie dowolnych poleceń systemowych bez uwierzytelnienia.
▸ Pokaż oryginał (EN)
Mocodo Mocodo Online 4.2.6 and below does not properly sanitize the sql_case input field in /web/generate.php, allowing remote attackers to execute arbitrary commands and potentially command injection, leading to remote code execution (RCE) under certain conditions.
Aplikacja nie filtruje poprawnie danych przekazywanych przez użytkownika w polu sql_case podczas przetwarzania żądań do pliku /web/generate.php. Atakujący może wstrzyknąć złośliwe polecenia systemowe (command injection, CWE-77) bezpośrednio do tego pola. Przy spełnieniu określonych warunków środowiskowych wstrzyknięte polecenia są wykonywane przez serwer z uprawnieniami procesu aplikacji, co prowadzi do pełnego remote code execution (RCE).
Atakujący bez żadnego uwierzytelnienia może przejąć kontrolę nad serwerem, wykonując dowolny kod — potencjalnie uzyskując dostęp do danych, instalując backdoor lub eskalując uprawnienia w systemie.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się aktualizację do wersji wyższej niż 4.2.6 oraz ograniczenie publicznego dostępu do endpointu /web/generate.php do czasu wdrożenia poprawki.
Mocodo Mocodo Online w wersji 4.2.6 oraz wszystkich wcześniejszych wersjach
Szczegółowy opis techniczny podatności został opublikowany przez badacza na stronie chocapikk.com. Podatny fragment kodu znajduje się w pliku web/generate.php w liniach 104–158 repozytorium GitHub projektu Mocodo.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HMocodo Online
APPMocodo≤ 4.2.6