CVE-2018-25159
CriticalSummary
Platforma zarządzania systemami Epross AVCON6 zawiera podatność na wstrzykiwanie języka nawigacji obiektów (OGNL), która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych poleceń poprzez wstrzykiwanie złośliwych wyrażeń OGNL. Atakujący mogą wysyłać spreparowane żądania do punktu końcowego login.action z ładunkami OGNL w parametrze redirect, aby zainicjować obiekty ProcessBuilder i wykonywać polecenia systemowe z uprawnieniami roota.
Risk Assessment
Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia atakującym uzyskanie pełnej kontroli nad systemem, co może prowadzić do utraty danych lub kompromitacji systemów.
Recommendation
Zaleca się aktualizację platformy Epross AVCON6 do najnowszej wersji, która zawiera poprawki zabezpieczeń, oraz wdrożenie odpowiednich środków kontroli dostępu, aby ograniczyć możliwość nieautoryzowanego dostępu.
Original NVD description (English source)
Epross AVCON6 systems management platform contains an object-graph navigation language (OGNL) injection vulnerability that allows unauthenticated attackers to execute arbitrary commands by injecting malicious OGNL expressions. Attackers can send crafted requests to the login.action endpoint with OGNL payloads in the redirect parameter to instantiate ProcessBuilder objects and execute system commands with root privileges.

