CRITICAL🇬🇧 English

CVE-2025-63414

RCE bez uwierzytelnienia w Allsky WebUI przez path traversal i command injection

CVSS 10.0v3.1pub. 2025-12-16upd. 2025-12-31

Podatność typu path traversal i command injection w interfejsie webowym Allsky WebUI v2024.12.06_06 umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnych poleceń systemowych. Ze względu na brak wymagania jakiegokolwiek uwierzytelnienia oraz maksymalną ocenę CVSS 10.0, zagrożenie jest krytyczne.

Pokaż oryginał (EN)

A Path Traversal vulnerability in the Allsky WebUI version v2024.12.06_06 allows an unauthenticated remote attacker to achieve arbitrary command execution. By sending a crafted HTTP request to the /html/execute.php endpoint with a malicious payload in the id parameter, an attacker can execute arbitrary commands on the underlying operating system, leading to full remote code execution (RCE).

🤖 Analiza AI
Jak działa

Atakujący wysyła spreparowane żądanie HTTP do endpointu /html/execute.php, umieszczając złośliwy payload w parametrze id. Aplikacja nie waliduje poprawnie przekazanej wartości, co skutkuje zarówno możliwością path traversal, jak i bezpośrednim wykonaniem wstrzykniętych poleceń na poziomie systemu operacyjnego. Podatność nie wymaga żadnego uwierzytelnienia ani interakcji ze strony użytkownika.

Skutki

Atakujący może uzyskać pełną kontrolę nad systemem operacyjnym urządzenia uruchamiającego Allsky WebUI, co obejmuje wykonywanie dowolnych poleceń, odczyt i modyfikację plików oraz potencjalne przejęcie całego hosta.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu wdrożenia poprawki zaleca się ograniczenie dostępu sieciowego do interfejsu WebUI wyłącznie do zaufanych hostów, np. poprzez firewall lub mechanizmy kontroli dostępu na poziomie sieci.

Kogo dotyczy

Allsky WebUI w wersji v2024.12.06_06 (produkt Allskyteam Allsky)

Uwagi

Podatność została opisana w blogu badacza pod adresem gh0stmezh.wordpress.com. Podatny plik execute.php jest publicznie dostępny w repozytorium GitHub projektu Allsky.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Allskyteam Allsky

    APP
    Allskyteam
    2024.12.06_06
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEPath TraversalCommand Injection
CWE
Referencje

Powiązane podatności

CVE-2025-65573HIGH8.8ten sam produkt

Cross Site Request Forgery (CSRF) vulnerability in AllskyTeam AllSky v2024.12.06_06 allows remote attackers to...

CVE-2025-65572MEDIUM6.1ten sam produkt

Cross Site Scripting (XSS) vulnerability in AllskyTeam AllSky v2024.12.06_06 allows remote attackers to execut...