Podatność w Tiny MoxieManager PHP przed wersją 4.0.0 umożliwia nieuwierzytelnionym atakującym zdalne wykonanie dowolnego kodu (RCE) poprzez komendę instalatora. Zagrożenie jest krytyczne, ponieważ nie wymaga żadnej autoryzacji i jest dostępne nawet po zakończeniu procesu instalacji.
▸ Pokaż oryginał (EN)
In Tiny MoxieManager PHP before 4.0.0, remote code execution can occur in the installer command. This vulnerability allows unauthenticated attackers to inject and execute arbitrary code. Attacker-controlled data to InstallCommand can be inserted into config.php, and InstallCommand is available after an installation has completed.
Atakujący może przekazać kontrolowane przez siebie dane do mechanizmu InstallCommand, który zapisuje je bezpośrednio do pliku konfiguracyjnego config.php. Ponieważ wstrzyknięte dane trafiają do pliku PHP bez odpowiedniej walidacji lub sanityzacji (CWE-96 — indirect static code injection), osadzony w ten sposób kod jest następnie wykonywany przez serwer. Krytyczne jest to, że endpoint InstallCommand pozostaje dostępny również po pomyślnym zakończeniu instalacji, co rozszerza okno podatności na wszystkie działające instalacje.
Nieuwierzytelniony atakujący może zdalnie wykonać dowolny kod na serwerze hostującym aplikację, co w praktyce oznacza pełne przejęcie kontroli nad systemem, możliwość kradzieży danych, instalacji backdoorów oraz dalszego lateral movement w sieci.
Należy niezwłocznie zaktualizować Tiny MoxieManager PHP do wersji 4.0.0 lub nowszej. Szczegóły dotyczące patcha dostępne są w changelogu producenta oraz biuletynie bezpieczeństwa SEC-1063 na stronie moxiemanager.com. Do czasu aktualizacji zaleca się zablokowanie dostępu do endpointu InstallCommand na poziomie firewall lub konfiguracji serwera WWW.
Tiny MoxieManager PHP we wszystkich wersjach przed 4.0.0
Podatność sklasyfikowana jako CWE-96 (Improper Neutralization of Directives in Statically Saved Code — indirect static code injection). Pomimo braku wpisu w CISA KEV, krytyczny wynik CVSS 9.4 oraz brak wymogu uwierzytelnienia uzasadniają pilne działania naprawcze.
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X