CVE-2019-25471
CriticalSummary
FileThingie w wersji 2.5.7 zawiera podatność na nieautoryzowane przesyłanie plików, która umożliwia atakującym przesyłanie złośliwych plików poprzez wysyłanie archiwów ZIP do punktu końcowego ft2.php. Atakujący mogą przesyłać pliki ZIP zawierające powłoki PHP, a następnie wydobywać je do dostępnych katalogów.
Risk Assessment
Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia atakującym uruchamianie dowolnych poleceń na serwerze poprzez złośliwe pliki PHP. Może to prowadzić do przejęcia kontroli nad systemem i wycieku danych.
Recommendation
Zaleca się natychmiastowe zaktualizowanie FileThingie do najnowszej wersji, która naprawia tę podatność. Dodatkowo, warto wdrożyć mechanizmy ograniczające możliwość przesyłania plików oraz skanowania ich pod kątem złośliwego oprogramowania.
Original NVD description (English source)
FileThingie 2.5.7 contains an arbitrary file upload vulnerability that allows attackers to upload malicious files by sending ZIP archives through the ft2.php endpoint. Attackers can upload ZIP files containing PHP shells, use the unzip functionality to extract them into accessible directories, and execute arbitrary commands through the extracted PHP files.

