CVE-2019-25471
KrytyczneStreszczenie
FileThingie w wersji 2.5.7 zawiera podatność na nieautoryzowane przesyłanie plików, która umożliwia atakującym przesyłanie złośliwych plików poprzez wysyłanie archiwów ZIP do punktu końcowego ft2.php. Atakujący mogą przesyłać pliki ZIP zawierające powłoki PHP, a następnie wydobywać je do dostępnych katalogów.
Ocena ryzyka
Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia atakującym uruchamianie dowolnych poleceń na serwerze poprzez złośliwe pliki PHP. Może to prowadzić do przejęcia kontroli nad systemem i wycieku danych.
Rekomendacja
Zaleca się natychmiastowe zaktualizowanie FileThingie do najnowszej wersji, która naprawia tę podatność. Dodatkowo, warto wdrożyć mechanizmy ograniczające możliwość przesyłania plików oraz skanowania ich pod kątem złośliwego oprogramowania.
Oryginalny opis (angielski, źródło NVD)
FileThingie 2.5.7 contains an arbitrary file upload vulnerability that allows attackers to upload malicious files by sending ZIP archives through the ft2.php endpoint. Attackers can upload ZIP files containing PHP shells, use the unzip functionality to extract them into accessible directories, and execute arbitrary commands through the extracted PHP files.

