CVE-2019-25740
MediumCVSS 6.5Summary
Joomla com_jsjobs w wersji 1.2.6 zawiera podatność na nieautoryzowane usuwanie plików, która pozwala uwierzytelnionym atakującym na usunięcie plików poprzez manipulację parametrami custom userfield. Atakujący mogą wysyłać żądania POST do zadania job.savejob z sekwencjami przejścia ścieżki w parametrze field_2, aby usunąć dowolne pliki dostępne dla serwera WWW.
Risk Assessment
Podatność ta stwarza ryzyko nieautoryzowanego usunięcia ważnych plików na serwerze, co może prowadzić do utraty danych lub zakłócenia działania aplikacji. Umożliwia to atakującym wykorzystanie uprawnień użytkowników do szkodliwych działań.
Recommendation
Zaleca się aktualizację Joomla do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto wprowadzić dodatkowe kontrole dostępu do operacji usuwania plików oraz monitorować logi serwera w celu wykrywania podejrzanych działań.
Original NVD description (English source)
Joomla com_jsjobs 1.2.6 contains an arbitrary file deletion vulnerability that allows authenticated attackers to delete files by manipulating custom userfield parameters. Attackers can send POST requests to the job.savejob task with path traversal sequences in the field_2 parameter to delete arbitrary files accessible to the web server.

