CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2021-47900

Critical
Published: Translated: NVD NIST

Summary

Wersje Gila CMS przed 2.0.0 zawierają podatność na zdalne wykonanie kodu, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych poleceń systemowych poprzez manipulowane nagłówki HTTP. Atakujący mogą wstrzykiwać kod PHP w nagłówku User-Agent, wykorzystując shell_exec() do uruchamiania poleceń systemowych, wysyłając odpowiednio skonstruowane żądania do punktu końcowego administratora.

Risk Assessment

Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym zdalne wykonywanie poleceń systemowych, co może prowadzić do przejęcia kontroli nad systemem. Niekontrolowany dostęp do krytycznych funkcji może skutkować utratą danych lub naruszeniem bezpieczeństwa.

Recommendation

Zaleca się aktualizację Gila CMS do wersji 2.0.0 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto monitorować i ograniczać dostęp do punktów końcowych administracyjnych oraz stosować odpowiednie zabezpieczenia nagłówków HTTP.

Original NVD description (English source)

Gila CMS versions prior to 2.0.0 contain a remote code execution vulnerability that allows unauthenticated attackers to execute arbitrary system commands through manipulated HTTP headers. Attackers can inject PHP code in the User-Agent header with shell_exec() to run system commands by sending crafted requests to the admin endpoint.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS