Podatność typu path traversal w komponencie File Operations API Endpoint aplikacji Crafty Controller umożliwia zdalnemu, uwierzytelnionemu atakującemu wykonanie dowolnego kodu na serwerze. Ze względu na wysoki wynik CVSS (9.9) oraz zakres podatności wykraczający poza granice komponentu (Scope: Changed), zagrożenie jest krytyczne.
▸ Pokaż oryginał (EN)
An input neutralization vulnerability in the File Operations API Endpoint component of Crafty Controller allows a remote, authenticated attacker to perform file tampering and remote code execution via path traversal.
Komponent File Operations API Endpoint nie neutralizuje poprawnie danych wejściowych zawierających sekwencje path traversal (np. '../'). Atakujący, posiadając jedynie podstawowe uwierzytelnienie, może za pomocą spreparowanego żądania sieciowego wyjść poza dozwolony katalog i uzyskać dostęp do dowolnych plików systemowych. Poprzez modyfikację lub podmiankę plików (file tampering) możliwe jest ostateczne osiągnięcie zdalnego wykonania kodu (RCE) na serwerze hostującym aplikację.
Atakujący może odczytywać, modyfikować lub nadpisywać dowolne pliki dostępne dla procesu aplikacji, co w konsekwencji prowadzi do pełnego przejęcia kontroli nad serwerem poprzez zdalne wykonanie kodu.
Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://gitlab.com/crafty-controller/crafty-4/-/issues/660). Do czasu wdrożenia poprawki zaleca się ograniczenie dostępu do API wyłącznie do zaufanych, uwierzytelnionych użytkowników oraz monitorowanie logów pod kątem podejrzanych żądań do endpointów File Operations.
Craftycontrol Crafty Controller — wersje wskazane w referencjach producenta
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:LCraftycontrol Crafty Controller
APPCraftycontrol4.7.0
Powiązane podatności
IDOR w Crafty Controller — nieautoryzowana modyfikacja kont użytkowników
RCE przez Server Side Template Injection w Crafty Controller (Webhook Template)
An input neutralization vulnerability in the Backup Configuration component of Crafty Controller allows a remo...
An input neutralization vulnerability in the Server MOTD component of Crafty Controller allows a remote, unaut...
An input neutralization vulnerability in the Server Name form and API Key form components of Crafty Controller...