Xerte Online Toolkits w wersjach 3.15 i wcześniejszych zawiera lukę w walidacji danych wejściowych w endpoincie elFinder, która nie blokuje rozszerzenia .php4 z powodu błędnego wyrażenia regularnego. Nieuwierzytelniony atakujący może połączyć tę podatność z obejściem uwierzytelnienia i path traversal, aby przesłać złośliwy kod PHP i wykonać dowolne polecenia systemowe na serwerze.
▸ Pokaż oryginał (EN)
Xerte Online Toolkits versions 3.15 and earlier contain an incomplete input validation vulnerability in the elFinder connector endpoint that fails to block PHP-executable extensions .php4 due to an incorrect regex pattern. Unauthenticated attackers can exploit this flaw combined with authentication bypass and path traversal vulnerabilities to upload malicious PHP code, rename it with a .php4 extension, and execute arbitrary operating system commands on the server.
Endpoint elFinder connector nieprawidłowo filtruje przesyłane pliki — błędny wzorzec regex pomija rozszerzenie .php4, które jest interpretowane przez serwer jako wykonywalny kod PHP. Atakujący najpierw wykorzystuje podatność na obejście uwierzytelnienia, a następnie stosuje path traversal, aby umieścić plik w dostępnej lokalizacji. Po przesłaniu pliku i zmianie jego nazwy na rozszerzenie .php4 możliwe jest zdalne wykonanie dowolnych poleceń systemu operacyjnego na serwerze (RCE).
Nieuwierzytelniony atakujący może uzyskać pełną kontrolę nad serwerem poprzez zdalne wykonanie dowolnych poleceń systemowych (RCE), co może prowadzić do przejęcia danych, instalacji backdoor lub dalszego lateral movement w sieci.
Należy zastosować patche dostępne w repozytorium producenta (commity: 02661be88cc369325ea01b508086bde7fbfec805, 17e4f945fe6a3400fa88c01eda18c1075ee4a212, 507d55c5e91bf9310b5b1c7fad8aebfef902ad23) oraz zaktualizować oprogramowanie do wersji pozbawionej tej podatności zgodnie z referencjami producenta. Do czasu wdrożenia patcha należy rozważyć ograniczenie dostępu do endpointu elFinder na poziomie firewall lub serwera WWW.
Xerte Online Toolkits w wersji 3.15 i wcześniejszych
Publicznie dostępny jest kod exploita (proof-of-concept) opublikowany w repozytorium https://github.com/bootstrapbool/xerteonlinetoolkits-rce. Podatność jest kombinacją trzech odrębnych słabości: niekompletnej walidacji rozszerzeń (CWE-184), obejścia uwierzytelnienia oraz path traversal.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X