CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2016-20052

Critical
Published: Translated: NVD NIST

Summary

Snews CMS w wersji 1.7 zawiera podatność na nieograniczone przesyłanie plików, która pozwala nieautoryzowanym atakującym na przesyłanie dowolnych plików, w tym skryptów PHP, do katalogu snews_files. Atakujący mogą przesyłać złośliwe pliki PHP przez punkt końcowy przesyłania danych multipart/form-data i wykonywać je, uzyskując dostęp do ścieżki przesłanego pliku.

Risk Assessment

Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając zdalne wykonanie kodu przez atakujących, co może prowadzić do przejęcia kontroli nad systemem. W konsekwencji może to skutkować utratą danych, naruszeniem prywatności oraz uszkodzeniem reputacji organizacji.

Recommendation

Zaleca się natychmiastowe zaktualizowanie Snews CMS do najnowszej wersji, która naprawia tę podatność. Dodatkowo, należy wdrożyć odpowiednie mechanizmy kontroli dostępu oraz skanowanie przesyłanych plików w celu wykrywania potencjalnie złośliwego oprogramowania.

Original NVD description (English source)

Snews CMS 1.7 contains an unrestricted file upload vulnerability that allows unauthenticated attackers to upload arbitrary files including PHP executables to the snews_files directory. Attackers can upload malicious PHP files through the multipart form-data upload endpoint and execute them by accessing the uploaded file path to achieve remote code execution.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS