Katalog CVE

CVE-2018-25353

Wysokie
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Redaxo CMS Mediapool Addon w wersji 5.5.1 i starszych zawiera podatność na nieautoryzowane przesyłanie plików, która pozwala uwierzytelnionym użytkownikom na obejście ograniczeń dotyczących rozszerzeń plików. Atakujący z kontami edytora mogą przesyłać pliki wykonywalne, używając zafałszowanych rozszerzeń, aby ominąć filtr czarnej listy.

Ocena ryzyka

Organizacja narażona jest na ryzyko wykonania złośliwego kodu przez atakujących, co może prowadzić do kompromitacji systemów i danych. Wykorzystanie tej podatności może skutkować poważnymi konsekwencjami dla bezpieczeństwa i integralności systemu.

Rekomendacja

Zaleca się aktualizację Redaxo CMS Mediapool Addon do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto wprowadzić dodatkowe mechanizmy zabezpieczeń, aby monitorować i kontrolować przesyłane pliki.

Oryginalny opis (angielski, źródło NVD)

Redaxo CMS Mediapool Addon 5.5.1 and older contains an arbitrary file upload vulnerability that allows authenticated users to bypass file extension blacklist restrictions. Attackers with editor accounts can upload executable files by using obfuscated extensions like php71 or php53 to evade the blacklist filter and execute arbitrary code.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS