CVE-2020-37012
KrytyczneStreszczenie
Tea LaTex 1.0 zawiera podatność na zdalne wykonanie kodu, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych poleceń powłoki przez punkt końcowy /api.php. Atakujący mogą stworzyć złośliwy ładunek LaTeX z poleceniami powłoki, które są wykonywane podczas przetwarzania przez akcję API tex2png aplikacji.
Ocena ryzyka
Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym zdalne wykonywanie kodu, co może prowadzić do przejęcia kontroli nad systemem. Niekontrolowane wykonanie poleceń powłoki może skutkować utratą danych lub naruszeniem bezpieczeństwa.
Rekomendacja
Zaleca się natychmiastowe zaktualizowanie aplikacji Tea LaTex do najnowszej wersji, która eliminuje tę podatność. Dodatkowo, warto ograniczyć dostęp do punktu końcowego /api.php tylko do zaufanych użytkowników.
Oryginalny opis (angielski, źródło NVD)
Tea LaTex 1.0 contains a remote code execution vulnerability that allows unauthenticated attackers to execute arbitrary shell commands through the /api.php endpoint. Attackers can craft a malicious LaTeX payload with shell commands that are executed when processed by the application's tex2png API action.

