CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2022-50912

Critical
Published: Translated: NVD NIST

Summary

ImpressCMS w wersji 1.4.4 zawiera podatność na przesyłanie plików z słabą sanitizacją rozszerzeń, co pozwala atakującym na przesyłanie potencjalnie złośliwych plików. Atakujący mogą obejść ograniczenia przesyłania plików, używając alternatywnych rozszerzeń plików, takich jak .php2, .php6, .php7, .phps, .pht, aby wykonać dowolny kod PHP na serwerze.

Risk Assessment

Podatność ta stwarza poważne ryzyko dla bezpieczeństwa serwera, umożliwiając atakującym uruchamianie złośliwego kodu, co może prowadzić do przejęcia kontroli nad systemem. Organizacje mogą być narażone na utratę danych oraz usunięcie lub modyfikację ważnych informacji.

Recommendation

Zaleca się aktualizację ImpressCMS do najnowszej wersji, która naprawia tę podatność. Dodatkowo, należy wprowadzić ścisłe kontrole dotyczące przesyłania plików oraz monitorować logi serwera w celu wykrywania podejrzanych działań.

Original NVD description (English source)

ImpressCMS 1.4.4 contains a file upload vulnerability with weak extension sanitization that allows attackers to upload potentially malicious files. Attackers can bypass file upload restrictions by using alternative file extensions .php2.php6.php7.phps.pht to execute arbitrary PHP code on the server.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS