CVE-2020-37123
KrytyczneStreszczenie
Pinger 1.0 zawiera podatność na zdalne wykonanie kodu, która pozwala atakującym na wstrzykiwanie poleceń powłoki przez parametry ping i socket. Atakujący mogą wykorzystać niesanitowane dane wejściowe w pliku ping.php do zapisywania dowolnych plików PHP i wykonywania poleceń systemowych, dodając metaznaki powłoki.
Ocena ryzyka
Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym zdalne wykonywanie dowolnego kodu na serwerze. Może to prowadzić do kompromitacji systemu oraz utraty danych.
Rekomendacja
Zaleca się aktualizację Pinger do najnowszej wersji, która eliminuje tę podatność. Należy również wprowadzić dodatkowe mechanizmy sanitizacji danych wejściowych w aplikacji.
Oryginalny opis (angielski, źródło NVD)
Pinger 1.0 contains a remote code execution vulnerability that allows attackers to inject shell commands through the ping and socket parameters. Attackers can exploit the unsanitized input in ping.php to write arbitrary PHP files and execute system commands by appending shell metacharacters.

