CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2021-47812

Critical
Published: Translated: NVD NIST

Summary

GravCMS w wersji 1.10.7 zawiera podatność, która pozwala nieautoryzowanym atakującym na zapis dowolnych konfiguracji YAML oraz wykonanie kodu PHP poprzez punkt końcowy harmonogramu. Atakujący mogą wykorzystać parametr admin-nonce do wstrzykiwania ładunków zakodowanych w base64 i tworzenia złośliwych zadań z wykonaniem poleceń systemowych.

Risk Assessment

Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym zdalne wykonywanie kodu i potencjalne przejęcie kontroli nad systemem. Może to prowadzić do utraty danych oraz naruszenia integralności systemu.

Recommendation

Zaleca się aktualizację GravCMS do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto wprowadzić dodatkowe zabezpieczenia, takie jak monitorowanie i ograniczenie dostępu do punktów końcowych harmonogramu.

Original NVD description (English source)

GravCMS 1.10.7 contains an unauthenticated vulnerability that allows remote attackers to write arbitrary YAML configuration and execute PHP code through the scheduler endpoint. Attackers can exploit the admin-nonce parameter to inject base64-encoded payloads and create malicious custom jobs with system command execution.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS