CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2019-25471

Critical
Published: Translated: NVD NIST

Summary

FileThingie w wersji 2.5.7 zawiera podatność na nieautoryzowane przesyłanie plików, która umożliwia atakującym przesyłanie złośliwych plików poprzez wysyłanie archiwów ZIP do punktu końcowego ft2.php. Atakujący mogą przesyłać pliki ZIP zawierające powłoki PHP, a następnie wydobywać je do dostępnych katalogów.

Risk Assessment

Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia atakującym uruchamianie dowolnych poleceń na serwerze poprzez złośliwe pliki PHP. Może to prowadzić do przejęcia kontroli nad systemem i wycieku danych.

Recommendation

Zaleca się natychmiastowe zaktualizowanie FileThingie do najnowszej wersji, która naprawia tę podatność. Dodatkowo, warto wdrożyć mechanizmy ograniczające możliwość przesyłania plików oraz skanowania ich pod kątem złośliwego oprogramowania.

Original NVD description (English source)

FileThingie 2.5.7 contains an arbitrary file upload vulnerability that allows attackers to upload malicious files by sending ZIP archives through the ft2.php endpoint. Attackers can upload ZIP files containing PHP shells, use the unzip functionality to extract them into accessible directories, and execute arbitrary commands through the extracted PHP files.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS