CRITICAL🇬🇧 English

CVE-2024-56973

RCE w Alvaria Unified IP Unified Director — podatne parametry uploadu pliku

CVSS 9.8v3.1pub. 2025-02-14upd. 2026-04-15

Podatność klasy Insecure Permissions w komponencie ProcessUploadFromURL.jsp produktu Alvaria Unified IP Unified Director umożliwia zdalnemu, nieuwierzytelnionemu atakującemu wykonanie dowolnego kodu na serwerze. Krytyczny wynik CVSS 9.8 wskazuje na wysokie ryzyko dla organizacji korzystających z podatnych wersji.

Pokaż oryginał (EN)

Insecure Permissions vulnerability in Alvaria, Inc Unified IP Unified Director before v.7.2SP2 allows a remote attacker to execute arbitrary code via the source and filename parameters to the ProcessUploadFromURL.jsp component.

🤖 Analiza AI
Jak działa

Atakujący może bez uwierzytelnienia wysłać spreparowane żądanie sieciowe do komponentu ProcessUploadFromURL.jsp, manipulując parametrami 'source' oraz 'filename'. Niewystarczające uprawnienia i brak walidacji tych parametrów pozwalają na dostarczenie i uruchomienie złośliwego kodu po stronie serwera. W rezultacie możliwe jest zdalne wykonanie kodu (RCE) bez żadnej interakcji ze strony użytkownika.

Skutki

Atakujący może uzyskać pełną kontrolę nad podatnym systemem, w tym dostęp do poufnych danych, możliwość modyfikacji lub usunięcia danych oraz potencjalnie dalsze poruszanie się po sieci wewnętrznej (lateral movement).

Mitygacja

Należy zaktualizować Alvaria Unified IP Unified Director do wersji 7.2SP2 lub nowszej. Do czasu wdrożenia patcha zaleca się ograniczenie dostępu sieciowego do komponentu ProcessUploadFromURL.jsp poprzez reguły firewall lub inne mechanizmy kontroli dostępu.

Kogo dotyczy

Alvaria Unified IP Unified Director w wersjach przed 7.2SP2

Uwagi

Publicznie dostępny opis techniczny podatności (proof-of-concept) opublikowany przez VAMorales jest dostępny pod adresem wskazanym w referencjach.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje