CVE-2020-37052
KrytyczneStreszczenie
AirControl w wersji 1.4.2 zawiera podatność na zdalne wykonanie kodu przed uwierzytelnieniem, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych poleceń systemowych poprzez wstrzykiwanie złośliwych wyrażeń Java. Atakujący mogą wykorzystać punkt końcowy /.seam, tworząc specjalnie skonstruowany adres URL z osadzonymi wyrażeniami Java.
Ocena ryzyka
Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym uzyskanie dostępu do systemu z uprawnieniami aplikacji. Może to prowadzić do przejęcia kontroli nad systemem i wycieku danych.
Rekomendacja
Zaleca się aktualizację AirControl do najnowszej wersji, która eliminuje tę podatność. Dodatkowo, warto wdrożyć mechanizmy zabezpieczające, takie jak filtrowanie wejścia i monitorowanie ruchu sieciowego.
Oryginalny opis (angielski, źródło NVD)
AirControl 1.4.2 contains a pre-authentication remote code execution vulnerability that allows unauthenticated attackers to execute arbitrary system commands through malicious Java expression injection. Attackers can exploit the /.seam endpoint by crafting a specially constructed URL with embedded Java expressions to run commands with the application's system privileges.

