CVE-2023-54339
CriticalSummary
Webgrind w wersji 1.1 zawiera podatność na zdalne wykonanie poleceń, która pozwala nieautoryzowanym atakującym na wstrzykiwanie poleceń systemowych za pomocą parametru dataFile w pliku index.php. Atakujący mogą wykonywać dowolne polecenia systemowe, manipulując tym parametrem.
Risk Assessment
Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia atakującym zdalne wykonywanie poleceń na serwerze, co może prowadzić do przejęcia kontroli nad systemem.
Recommendation
Zaleca się aktualizację Webgrind do najnowszej wersji, aby usunąć tę podatność oraz wprowadzenie dodatkowych środków zabezpieczających, takich jak ograniczenie dostępu do aplikacji.
Original NVD description (English source)
Webgrind 1.1 contains a remote command execution vulnerability that allows unauthenticated attackers to inject OS commands via the dataFile parameter in index.php. Attackers can execute arbitrary system commands by manipulating the dataFile parameter, such as using payload '0%27%26calc.exe%26%27' to execute commands on the target system.

