CVE-2025-70831
CriticalSummary
W aplikacji Smanga w wersji 3.2.7 odkryto podatność na zdalne wykonanie kodu (RCE) w interfejsie /php/path/rescan.php. Aplikacja nieprawidłowo sanitizuje dane wejściowe dostarczane przez użytkownika w parametrze mediaId, co pozwala na wstrzyknięcie dowolnych poleceń systemowych.
Risk Assessment
Podatność ta umożliwia nieautoryzowanemu atakującemu przejęcie kontroli nad serwerem, co może prowadzić do poważnych konsekwencji dla bezpieczeństwa organizacji.
Recommendation
Zaleca się aktualizację aplikacji Smanga do najnowszej wersji oraz wdrożenie odpowiednich mechanizmów sanitizacji danych wejściowych, aby zminimalizować ryzyko ataków.
Original NVD description (English source)
A Remote Code Execution (RCE) vulnerability was found in Smanga 3.2.7 in the /php/path/rescan.php interface. The application fails to properly sanitize user-supplied input in the mediaId parameter before using it in a system shell command. This allows an unauthenticated attacker to inject arbitrary operating system commands, leading to complete server compromise.

