Katalog CVE

CVE-2020-37012

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Tea LaTex 1.0 zawiera podatność na zdalne wykonanie kodu, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych poleceń powłoki przez punkt końcowy /api.php. Atakujący mogą stworzyć złośliwy ładunek LaTeX z poleceniami powłoki, które są wykonywane podczas przetwarzania przez akcję API tex2png aplikacji.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym zdalne wykonywanie kodu, co może prowadzić do przejęcia kontroli nad systemem. Niekontrolowane wykonanie poleceń powłoki może skutkować utratą danych lub naruszeniem bezpieczeństwa.

Rekomendacja

Zaleca się natychmiastowe zaktualizowanie aplikacji Tea LaTex do najnowszej wersji, która eliminuje tę podatność. Dodatkowo, warto ograniczyć dostęp do punktu końcowego /api.php tylko do zaufanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

Tea LaTex 1.0 contains a remote code execution vulnerability that allows unauthenticated attackers to execute arbitrary shell commands through the /api.php endpoint. Attackers can craft a malicious LaTeX payload with shell commands that are executed when processed by the application's tex2png API action.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS