CVE-2020-37123
CriticalSummary
Pinger 1.0 zawiera podatność na zdalne wykonanie kodu, która pozwala atakującym na wstrzykiwanie poleceń powłoki przez parametry ping i socket. Atakujący mogą wykorzystać niesanitowane dane wejściowe w pliku ping.php do zapisywania dowolnych plików PHP i wykonywania poleceń systemowych, dodając metaznaki powłoki.
Risk Assessment
Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym zdalne wykonywanie dowolnego kodu na serwerze. Może to prowadzić do kompromitacji systemu oraz utraty danych.
Recommendation
Zaleca się aktualizację Pinger do najnowszej wersji, która eliminuje tę podatność. Należy również wprowadzić dodatkowe mechanizmy sanitizacji danych wejściowych w aplikacji.
Original NVD description (English source)
Pinger 1.0 contains a remote code execution vulnerability that allows attackers to inject shell commands through the ping and socket parameters. Attackers can exploit the unsanitized input in ping.php to write arbitrary PHP files and execute system commands by appending shell metacharacters.

