Katalog CVE

CVE-2016-20052

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Snews CMS w wersji 1.7 zawiera podatność na nieograniczone przesyłanie plików, która pozwala nieautoryzowanym atakującym na przesyłanie dowolnych plików, w tym skryptów PHP, do katalogu snews_files. Atakujący mogą przesyłać złośliwe pliki PHP przez punkt końcowy przesyłania danych multipart/form-data i wykonywać je, uzyskując dostęp do ścieżki przesłanego pliku.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając zdalne wykonanie kodu przez atakujących, co może prowadzić do przejęcia kontroli nad systemem. W konsekwencji może to skutkować utratą danych, naruszeniem prywatności oraz uszkodzeniem reputacji organizacji.

Rekomendacja

Zaleca się natychmiastowe zaktualizowanie Snews CMS do najnowszej wersji, która naprawia tę podatność. Dodatkowo, należy wdrożyć odpowiednie mechanizmy kontroli dostępu oraz skanowanie przesyłanych plików w celu wykrywania potencjalnie złośliwego oprogramowania.

Oryginalny opis (angielski, źródło NVD)

Snews CMS 1.7 contains an unrestricted file upload vulnerability that allows unauthenticated attackers to upload arbitrary files including PHP executables to the snews_files directory. Attackers can upload malicious PHP files through the multipart form-data upload endpoint and execute them by accessing the uploaded file path to achieve remote code execution.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS