CVE-2018-25412
CriticalCVSS 9.8Summary
Delta Sql w wersji 1.8.2 zawiera podatność na nieautoryzowane przesyłanie plików, która pozwala atakującym na przesyłanie złośliwych plików poprzez wysyłanie żądań POST do docs_upload.php z odpowiednio skonstruowanymi danymi formularza wieloczęściowego. Atakujący mogą przesyłać pliki PHP z dowolną zawartością do katalogu przesyłania i wykonywać je na serwerze, co prowadzi do zdalnego wykonania kodu.
Risk Assessment
Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym zdalne wykonywanie kodu na serwerze, co może prowadzić do utraty danych, przejęcia kontroli nad systemem lub innych poważnych incydentów bezpieczeństwa.
Recommendation
Zaleca się aktualizację Delta Sql do najnowszej wersji, która eliminuje tę podatność, oraz wdrożenie dodatkowych środków zabezpieczających, takich jak ograniczenie możliwości przesyłania plików do zaufanych typów i monitorowanie aktywności na serwerze.
Original NVD description (English source)
Delta Sql 1.8.2 contains an arbitrary file upload vulnerability that allows unauthenticated attackers to upload malicious files by sending POST requests to docs_upload.php with crafted multipart form data. Attackers can upload PHP files with arbitrary content to the upload directory and execute them on the server for remote code execution.

