Emlog v2.6.1 i wcześniejsze wersje zawierają podatność (CWE-434) w endpoincie REST API do przesyłania plików multimedialnych, która umożliwia uwierzytelnionym atakującym wgranie dowolnego pliku na serwer, w tym złośliwych skryptów PHP. Po wykonaniu takiego pliku atakujący uzyskuje pełną kontrolę nad serwerem (RCE).
▸ Pokaż oryginał (EN)
Emlog is an open source website building system. emlog v2.6.1 and earlier exposes a REST API endpoint (/index.php?rest-api=upload) for media file uploads. The endpoint fails to implement proper validation of file types, extensions, and content, allowing authenticated attackers (with a valid API key or admin session cookie) to upload arbitrary files (including malicious PHP scripts) to the server. An attacker can obtain the API key either by gaining administrator access to enable the REST API setting, or via information disclosure vulnerabilities in the application. Once uploaded, the malicious PHP file can be executed to gain remote code execution (RCE) on the target server, leading to full server compromise.
Endpoint REST API (/index.php?rest-api=upload) przeznaczony do przesyłania plików multimedialnych nie weryfikuje w żaden sposób typu, rozszerzenia ani zawartości przesyłanych plików. Uwierzytelniony atakujący posiadający ważny klucz API lub cookie sesji administratora może wysłać żądanie zawierające złośliwy skrypt PHP. Klucz API można uzyskać poprzez zdobycie dostępu administracyjnego i włączenie ustawień REST API lub poprzez podatności na ujawnienie informacji w aplikacji. Po pomyślnym przesłaniu pliku atakujący wywołuje go bezpośrednio przez przeglądarkę lub żądanie HTTP, co skutkuje wykonaniem kodu po stronie serwera.
Atakujący może uzyskać zdalnego wykonanie kodu (RCE) na docelowym serwerze, co prowadzi do jego pełnego przejęcia — w tym kradzieży danych, instalacji backdoorów oraz dalszego lateral movement w sieci.
Należy zaktualizować Emlog do wersji zawierającej poprawkę dostępną w repozytorium projektu (commit 429b02fda842254b9b9b39303e9161999c180560 na GitHub). Do czasu aktualizacji zaleca się wyłączenie funkcji REST API w panelu administratora oraz ograniczenie dostępu do endpointu /index.php?rest-api=upload na poziomie firewalla lub serwera WWW.
Emlog v2.6.1 oraz wszystkie wcześniejsze wersje systemu do budowania stron internetowych Emlog.
Podatność wymaga uwierzytelnienia — atakujący musi posiadać ważny klucz API lub cookie sesji administratora. Klucz API może jednak zostać pozyskany przez podatności na ujawnienie informacji w aplikacji lub przez zdobycie dostępu administracyjnego.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XEmlog
APPEmlog< 2.6.1
Powiązane podatności
Emlog Pro – arbitralne usuwanie plików przez path traversal
RCE przez dowolne przesyłanie plików w Emlog Pro 2.5.7
Emlog Pro – dowolne przesyłanie plików umożliwiające RCE (admin/plugin.php)
An arbitrary file upload vulnerability in the component /admin/plugin.php of Emlog Pro v2.2.0 allows attackers...
An arbitrary file upload vulnerability in the component /content/templates/ of Emlog Pro v2.2.0 allows attacke...