Katalog CVE

CVE-2018-25412

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Delta Sql w wersji 1.8.2 zawiera podatność na nieautoryzowane przesyłanie plików, która pozwala atakującym na przesyłanie złośliwych plików poprzez wysyłanie żądań POST do docs_upload.php z odpowiednio skonstruowanymi danymi formularza wieloczęściowego. Atakujący mogą przesyłać pliki PHP z dowolną zawartością do katalogu przesyłania i wykonywać je na serwerze, co prowadzi do zdalnego wykonania kodu.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym zdalne wykonywanie kodu na serwerze, co może prowadzić do utraty danych, przejęcia kontroli nad systemem lub innych poważnych incydentów bezpieczeństwa.

Rekomendacja

Zaleca się aktualizację Delta Sql do najnowszej wersji, która eliminuje tę podatność, oraz wdrożenie dodatkowych środków zabezpieczających, takich jak ograniczenie możliwości przesyłania plików do zaufanych typów i monitorowanie aktywności na serwerze.

Oryginalny opis (angielski, źródło NVD)

Delta Sql 1.8.2 contains an arbitrary file upload vulnerability that allows unauthenticated attackers to upload malicious files by sending POST requests to docs_upload.php with crafted multipart form data. Attackers can upload PHP files with arbitrary content to the upload directory and execute them on the server for remote code execution.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS