Podatność typu PHP Local File Inclusion w aplikacji AcBakImzala firmy ArkSigner Software and Hardware Inc. umożliwia nieuwierzytelnionemu atakującemu zdalne włączenie dowolnych plików po stronie serwera. Wysoki wynik CVSS 9.8 wskazuje na krytyczne zagrożenie dla poufności, integralności i dostępności systemu.
▸ Pokaż oryginał (EN)
Inclusion of Functionality from Untrusted Control Sphere, Improper Control of Filename for Include/Require Statement in PHP Program ('PHP Remote File Inclusion') vulnerability in ArkSigner Software and Hardware Inc. AcBakImzala allows PHP Local File Inclusion. This issue affects AcBakImzala: before v5.1.4.
Błąd wynika z braku prawidłowej kontroli nad nazwą pliku przekazywaną do instrukcji include/require w kodzie PHP (CWE-98) oraz z możliwości dołączania funkcjonalności z niezaufanego zakresu kontroli (CWE-829). Atakujący może manipulować parametrem wejściowym aplikacji w taki sposób, aby serwer dołączył i wykonał dowolny plik lokalny. W efekcie możliwe jest odczytanie wrażliwych plików systemowych lub wykonanie złośliwego kodu PHP już obecnego na serwerze.
Atakujący bez uwierzytelnienia może uzyskać pełen dostęp do poufnych danych na serwerze, zmodyfikować zawartość aplikacji lub doprowadzić do jej niedostępności. W sprzyjających warunkach podatność może prowadzić do przejęcia pełnej kontroli nad serwerem.
Należy zaktualizować AcBakImzala do wersji v5.1.4 lub nowszej. Szczegółowe informacje dostępne są w referencjach producenta oraz w biuletynie USOM (TR-25-0356).
AcBakImzala firmy ArkSigner Software and Hardware Inc. we wszystkich wersjach przed v5.1.4.
Podatność zgłoszona przez turecki USOM (Narodowe Centrum Reagowania na Incydenty Cybernetyczne) pod numerem TR-25-0356.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H