Katalog CVE

CVE-2020-37052

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

AirControl w wersji 1.4.2 zawiera podatność na zdalne wykonanie kodu przed uwierzytelnieniem, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych poleceń systemowych poprzez wstrzykiwanie złośliwych wyrażeń Java. Atakujący mogą wykorzystać punkt końcowy /.seam, tworząc specjalnie skonstruowany adres URL z osadzonymi wyrażeniami Java.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym uzyskanie dostępu do systemu z uprawnieniami aplikacji. Może to prowadzić do przejęcia kontroli nad systemem i wycieku danych.

Rekomendacja

Zaleca się aktualizację AirControl do najnowszej wersji, która eliminuje tę podatność. Dodatkowo, warto wdrożyć mechanizmy zabezpieczające, takie jak filtrowanie wejścia i monitorowanie ruchu sieciowego.

Oryginalny opis (angielski, źródło NVD)

AirControl 1.4.2 contains a pre-authentication remote code execution vulnerability that allows unauthenticated attackers to execute arbitrary system commands through malicious Java expression injection. Attackers can exploit the /.seam endpoint by crafting a specially constructed URL with embedded Java expressions to run commands with the application's system privileges.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS