CVE-2018-25159
KrytyczneStreszczenie
Platforma zarządzania systemami Epross AVCON6 zawiera podatność na wstrzykiwanie języka nawigacji obiektów (OGNL), która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych poleceń poprzez wstrzykiwanie złośliwych wyrażeń OGNL. Atakujący mogą wysyłać spreparowane żądania do punktu końcowego login.action z ładunkami OGNL w parametrze redirect, aby zainicjować obiekty ProcessBuilder i wykonywać polecenia systemowe z uprawnieniami roota.
Ocena ryzyka
Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia atakującym uzyskanie pełnej kontroli nad systemem, co może prowadzić do utraty danych lub kompromitacji systemów.
Rekomendacja
Zaleca się aktualizację platformy Epross AVCON6 do najnowszej wersji, która zawiera poprawki zabezpieczeń, oraz wdrożenie odpowiednich środków kontroli dostępu, aby ograniczyć możliwość nieautoryzowanego dostępu.
Oryginalny opis (angielski, źródło NVD)
Epross AVCON6 systems management platform contains an object-graph navigation language (OGNL) injection vulnerability that allows unauthenticated attackers to execute arbitrary commands by injecting malicious OGNL expressions. Attackers can send crafted requests to the login.action endpoint with OGNL payloads in the redirect parameter to instantiate ProcessBuilder objects and execute system commands with root privileges.

