CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2021-47667

Critical
Published: Translated: NVD NIST

Summary

W bibliotece lib/NSSDropoff.php w ZendTo w wersjach od 5.24-3 do 6.x przed 6.10-7 występuje podatność na wstrzykiwanie poleceń systemowych. Umożliwia to nieautoryzowanym zdalnym atakującym wykonywanie dowolnych poleceń za pomocą metaznaków powłoki w parametrze tmp_name podczas przesyłania pliku za pomocą żądania POST /dropoff.

Risk Assessment

Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ pozwala atakującym na zdalne wykonywanie poleceń, co może prowadzić do przejęcia kontroli nad systemem. Może to skutkować utratą danych, naruszeniem poufności oraz dostępem do wrażliwych informacji.

Recommendation

Zaleca się aktualizację ZendTo do wersji 6.10-7 lub nowszej, aby usunąć tę podatność. Dodatkowo warto wdrożyć mechanizmy zabezpieczające, takie jak filtrowanie danych wejściowych i monitorowanie aktywności systemu.

Original NVD description (English source)

An OS command injection vulnerability in lib/NSSDropoff.php in ZendTo 5.24-3 through 6.x before 6.10-7 allows unauthenticated remote attackers to execute arbitrary commands via shell metacharacters in the tmp_name parameter when dropping off a file via a POST /dropoff request.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS