Open XDMoD, otwarty framework do zbierania i analizy metryk HPC, zawiera podatność typu command injection umożliwiającą zdalne wykonanie dowolnych poleceń systemowych bez uwierzytelnienia. Podatność jest krytyczna — atakujący może przejąć kontrolę nad serwerem webowym hostującym aplikację.
▸ Pokaż oryginał (EN)
OpenXDMoD is an open framework for collecting and analyzing HPC metrics. Starting in version 9.5.0 and prior to version 11.0.3, an attacker can remotely execute arbitrary system commands on the web server hosting Open XDMoD with the privileges of the web server process. This could allow an attacker to read or modify application data, alter system configuration, or disrupt service availability. All deployments of Open XDMoD versions 9.5.0 through 11.0.2 (inclusive) are impacted. This issue was reported privately on 2026-04-06, and at this time there is no evidence that this vulnerability has been exploited in the wild. The vulnerability was patched in Open XDMoD 11.0.3 on 2026-05-12. As a workaround, apply the patch manually.
Podatność sklasyfikowana jako CWE-78 (OS Command Injection) pozwala nieuwierzytelnionemu atakującemu na przesłanie spreparowanego żądania do serwera webowego, które skutkuje wykonaniem dowolnych poleceń systemowych z uprawnieniami procesu serwera WWW. Błąd obecny jest w kodzie wprowadzonym od wersji 9.5.0 i nie został usunięty aż do wydania wersji 11.0.3. Atak jest możliwy zdalnie, bez interakcji użytkownika i bez wymaganych uprawnień.
Atakujący może odczytać lub zmodyfikować dane aplikacji, zmienić konfigurację systemu operacyjnego oraz zakłócić dostępność usługi. Skuteczne wykorzystanie podatności daje praktycznie pełną kontrolę nad serwerem webowym w zakresie uprawnień jego procesu.
Należy zaktualizować Open XDMoD do wersji 11.0.3 (wydanej 2026-05-12). Jako rozwiązanie tymczasowe producent udostępnił patch, który można zastosować ręcznie: https://open.xdmod.org/security_patches/GHSA-29qm-7w4v-43fw-9_5_0-11_0_2.patch
Open XDMoD w wersjach od 9.5.0 do 11.0.2 włącznie
Podatność została zgłoszona prywatnie 2026-04-06 i naprawiona w Open XDMoD 11.0.3 w dniu 2026-05-12. Według informacji producenta na dzień publikacji nie odnotowano przypadków wykorzystania podatności w praktyce.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XBuffalo Open Xdmod
APPBuffalo9.5.0 – 11.0.3 (bez)
Powiązane podatności
SQL Injection w Open XDMoD — nieuwierzytelniony dostęp do bazy danych
An issue was discovered in Open XDMoD through 7.5.0. An authentication bypass (account takeover) exists due to...
OpenXDMoD is an open framework for collecting and analyzing HPC metrics. Prior to version 11.0.3, an authentic...
An issue was discovered in Open XDMoD through 7.5.0. html/gui/general/dl_publication.php allows Path traversal...
OpenXDMoD is an open framework for collecting and analyzing HPC metrics. Prior to version 11.0.3, a flaw in Op...