Katalog CVE

CVE-2019-25687

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Pegasus CMS w wersji 1.0 zawiera podatność na zdalne wykonanie kodu w wtyczce extra_fields.php, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych poleceń poprzez wykorzystanie niebezpiecznej funkcji eval. Atakujący mogą wysyłać żądania POST do punktu końcowego submit.php z złośliwym kodem PHP w parametrze action, co prowadzi do wykonania kodu i uzyskania interaktywnej powłoki.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym zdalne wykonanie kodu, co może prowadzić do przejęcia kontroli nad systemem. Niezabezpieczone aplikacje mogą być łatwym celem dla cyberprzestępców.

Rekomendacja

Zaleca się aktualizację Pegasus CMS do najnowszej wersji oraz wprowadzenie odpowiednich zabezpieczeń, takich jak filtrowanie danych wejściowych i ograniczenie dostępu do krytycznych punktów końcowych.

Oryginalny opis (angielski, źródło NVD)

Pegasus CMS 1.0 contains a remote code execution vulnerability in the extra_fields.php plugin that allows unauthenticated attackers to execute arbitrary commands by exploiting unsafe eval functionality. Attackers can send POST requests to the submit.php endpoint with malicious PHP code in the action parameter to achieve code execution and obtain an interactive shell.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS