CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2019-25441

Critical
Published: Translated: NVD NIST

Summary

thesystem w wersji 1.0 zawiera podatność na wstrzykiwanie poleceń, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych poleceń systemowych poprzez przesyłanie złośliwego wejścia do punktu końcowego run_command. Atakujący mogą wysyłać żądania POST z poleceniami powłoki w parametrze command, co umożliwia wykonanie dowolnego kodu na serwerze bez autoryzacji.

Risk Assessment

Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia atakującym zdalne wykonywanie kodu na serwerze, co może prowadzić do przejęcia kontroli nad systemem. Może to skutkować utratą danych, naruszeniem prywatności oraz uszkodzeniem reputacji organizacji.

Recommendation

Zaleca się natychmiastowe zaktualizowanie systemu do najnowszej wersji, która eliminuje tę podatność. Dodatkowo, warto wdrożyć mechanizmy zabezpieczające, takie jak filtrowanie wejścia i ograniczenie dostępu do krytycznych punktów końcowych.

Original NVD description (English source)

thesystem 1.0 contains a command injection vulnerability that allows unauthenticated attackers to execute arbitrary system commands by submitting malicious input to the run_command endpoint. Attackers can send POST requests with shell commands in the command parameter to execute arbitrary code on the server without authentication.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS