Katalog CVE

CVE-2016-15044

KrytyczneCVSS 9.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Podwyższone ryzyko
1.41%

Percentyl 70 - wyżej niż 70% wszystkich znanych CVE

Streszczenie

Podatność zdalnego wykonania kodu w Kaltura przed wersją 11.1.0-2 wynika z niebezpiecznej deserializacji danych kontrolowanych przez użytkownika w module keditorservices. Nieuwierzytelniony atakujący może wysłać spreparowany serializowany obiekt PHP w parametrze GET kdata do endpointu redirectWidgetCmd, co prowadzi do wykonania dowolnego kodu PHP w kontekście procesu serwera WWW.

Ocena ryzyka

Ryzyko dla organizacji obejmuje całkowite przejęcie serwera WWW, co może prowadzić do kradzieży danych, modyfikacji treści lub dalszego ataku na infrastrukturę wewnętrzną.

Rekomendacja

Zaleca się natychmiastową aktualizację Kaltura do wersji 11.1.0-2 lub nowszej, która zawiera poprawkę eliminującą niebezpieczną deserializację.

Oryginalny opis (angielski, źródło NVD)

A remote code execution vulnerability exists in Kaltura versions prior to 11.1.0-2 due to unsafe deserialization of user-controlled data within the keditorservices module. An unauthenticated remote attacker can exploit this issue by sending a specially crafted serialized PHP object in the kdata GET parameter to the redirectWidgetCmd endpoint. Successful exploitation leads to execution of arbitrary PHP code in the context of the web server process.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS