CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2018-25221

Critical
Published: Translated: NVD NIST

Summary

EChat Server 3.1 zawiera podatność na przepełnienie bufora w punkcie końcowym chat.ghp, która umożliwia zdalnym atakującym wykonanie dowolnego kodu poprzez dostarczenie zbyt dużego parametru nazwy użytkownika. Atakujący mogą wysłać żądanie GET do chat.ghp z złośliwą wartością nazwy użytkownika zawierającą shellcode i gadżety ROP, aby osiągnąć wykonanie kodu w kontekście aplikacji.

Risk Assessment

Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia zdalne wykonanie kodu, co może prowadzić do przejęcia kontroli nad systemem. Atakujący mogą wykorzystać tę lukę do wprowadzenia złośliwego oprogramowania lub kradzieży danych.

Recommendation

Zaleca się aktualizację EChat Server do najnowszej wersji, która usuwa tę podatność. Dodatkowo, warto wprowadzić mechanizmy ograniczające długość parametrów wejściowych oraz monitorować ruch sieciowy w celu wykrywania podejrzanych żądań.

Original NVD description (English source)

EChat Server 3.1 contains a buffer overflow vulnerability in the chat.ghp endpoint that allows remote attackers to execute arbitrary code by supplying an oversized username parameter. Attackers can send a GET request to chat.ghp with a malicious username value containing shellcode and ROP gadgets to achieve code execution in the application context.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS