CVE-2019-25687
CriticalSummary
Pegasus CMS w wersji 1.0 zawiera podatność na zdalne wykonanie kodu w wtyczce extra_fields.php, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych poleceń poprzez wykorzystanie niebezpiecznej funkcji eval. Atakujący mogą wysyłać żądania POST do punktu końcowego submit.php z złośliwym kodem PHP w parametrze action, co prowadzi do wykonania kodu i uzyskania interaktywnej powłoki.
Risk Assessment
Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym zdalne wykonanie kodu, co może prowadzić do przejęcia kontroli nad systemem. Niezabezpieczone aplikacje mogą być łatwym celem dla cyberprzestępców.
Recommendation
Zaleca się aktualizację Pegasus CMS do najnowszej wersji oraz wprowadzenie odpowiednich zabezpieczeń, takich jak filtrowanie danych wejściowych i ograniczenie dostępu do krytycznych punktów końcowych.
Original NVD description (English source)
Pegasus CMS 1.0 contains a remote code execution vulnerability in the extra_fields.php plugin that allows unauthenticated attackers to execute arbitrary commands by exploiting unsafe eval functionality. Attackers can send POST requests to the submit.php endpoint with malicious PHP code in the action parameter to achieve code execution and obtain an interactive shell.

