CVE-2024-44373
CriticalSummary
W AllSky w wersjach od 2023.05.01 do 2024.12.06_06 występuje podatność typu Path Traversal, która pozwala nieautoryzowanemu atakującemu na stworzenie webshella oraz zdalne wykonanie kodu poprzez parametr path w pliku /includes/save_file.php.
Risk Assessment
Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym zdalne przejęcie kontroli nad systemem i wykonanie dowolnego kodu.
Recommendation
Zaleca się aktualizację AllSky do najnowszej wersji oraz wdrożenie odpowiednich środków zabezpieczających, aby zminimalizować ryzyko wykorzystania tej podatności.
Original NVD description (English source)
A Path Traversal vulnerability in AllSky v2023.05.01 through v2024.12.06_06 allows an unauthenticated attacker to create a webshell and remote code execution via the path, content parameter to /includes/save_file.php.

