CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2020-37052

Critical
Published: Translated: NVD NIST

Summary

AirControl w wersji 1.4.2 zawiera podatność na zdalne wykonanie kodu przed uwierzytelnieniem, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych poleceń systemowych poprzez wstrzykiwanie złośliwych wyrażeń Java. Atakujący mogą wykorzystać punkt końcowy /.seam, tworząc specjalnie skonstruowany adres URL z osadzonymi wyrażeniami Java.

Risk Assessment

Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym uzyskanie dostępu do systemu z uprawnieniami aplikacji. Może to prowadzić do przejęcia kontroli nad systemem i wycieku danych.

Recommendation

Zaleca się aktualizację AirControl do najnowszej wersji, która eliminuje tę podatność. Dodatkowo, warto wdrożyć mechanizmy zabezpieczające, takie jak filtrowanie wejścia i monitorowanie ruchu sieciowego.

Original NVD description (English source)

AirControl 1.4.2 contains a pre-authentication remote code execution vulnerability that allows unauthenticated attackers to execute arbitrary system commands through malicious Java expression injection. Attackers can exploit the /.seam endpoint by crafting a specially constructed URL with embedded Java expressions to run commands with the application's system privileges.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS