CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2018-25159

Critical
Published: Translated: NVD NIST

Summary

Platforma zarządzania systemami Epross AVCON6 zawiera podatność na wstrzykiwanie języka nawigacji obiektów (OGNL), która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych poleceń poprzez wstrzykiwanie złośliwych wyrażeń OGNL. Atakujący mogą wysyłać spreparowane żądania do punktu końcowego login.action z ładunkami OGNL w parametrze redirect, aby zainicjować obiekty ProcessBuilder i wykonywać polecenia systemowe z uprawnieniami roota.

Risk Assessment

Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia atakującym uzyskanie pełnej kontroli nad systemem, co może prowadzić do utraty danych lub kompromitacji systemów.

Recommendation

Zaleca się aktualizację platformy Epross AVCON6 do najnowszej wersji, która zawiera poprawki zabezpieczeń, oraz wdrożenie odpowiednich środków kontroli dostępu, aby ograniczyć możliwość nieautoryzowanego dostępu.

Original NVD description (English source)

Epross AVCON6 systems management platform contains an object-graph navigation language (OGNL) injection vulnerability that allows unauthenticated attackers to execute arbitrary commands by injecting malicious OGNL expressions. Attackers can send crafted requests to the login.action endpoint with OGNL payloads in the redirect parameter to instantiate ProcessBuilder objects and execute system commands with root privileges.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS