Podatność w DedeCMS w wersji 5.7.118 i wcześniejszych umożliwia zdalnemu atakującemu wykonanie dowolnego kodu bez uwierzytelnienia. Ze względu na krytyczny wynik CVSS 9.8 oraz brak wymagań wstępnych stanowi poważne zagrożenie dla wszystkich serwerów korzystających z tej platformy.
▸ Pokaż oryginał (EN)
An issue in DedeCMS v.5.7.118 and before allows a remote attacker to execute arbitrary code via the array_filter component
Podatność sklasyfikowana jako CWE-94 (Code Injection) dotyczy komponentu array_filter w DedeCMS. Atakujący może dostarczyć specjalnie spreparowane dane wejściowe, które są następnie przetwarzane przez ten komponent w sposób umożliwiający wstrzyknięcie i wykonanie arbitralnego kodu po stronie serwera. Atak jest możliwy zdalnie, przez sieć, bez konieczności posiadania uwierzytelnienia ani interakcji ofiary.
Atakujący może uzyskać pełną kontrolę nad serwerem — w tym odczytać, zmodyfikować lub usunąć dane, a także zainstalować backdoor lub uruchomić dowolny kod z uprawnieniami procesu serwera WWW.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu aktualizacji zaleca się ograniczenie dostępu do panelu administracyjnego DedeCMS na poziomie firewall oraz monitorowanie podejrzanego ruchu sieciowego.
DedeCMS w wersji 5.7.118 oraz wszystkich wcześniejszych wersjach.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HDedecms
APPDedecms≤ 5.7.118
Powiązane podatności
DedeCMS 5.7.118 — zdalne wykonanie kodu przez upload modułu (RCE)
DedeCMS – arbitrary file upload umożliwiający RCE
DedeCMS 5.7.114 — arbitrary file upload w panelu administracyjnym
DedeCMS – nieautoryzowane usunięcie dowolnego pliku przez mail_file_manage.php
Krytyczne RCE przez File Upload w DedeCMS v5.7