Katalog CVE

CVE-2020-37186

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Chevereto w wersji 3.13.4 zawiera podatność na zdalne wykonanie kodu, która umożliwia atakującym wstrzykiwanie złośliwego kodu podczas instalacji konfiguracji bazy danych. Atakujący mogą manipulować parametrem prefiksu tabeli bazy danych, aby zapisać plik powłoki PHP i wykonywać dowolne polecenia systemowe za pomocą spreparowanego żądania POST.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia atakującym zdalne wykonanie kodu, co może prowadzić do przejęcia kontroli nad systemem. Wykorzystanie tej luki może skutkować utratą danych oraz naruszeniem integralności systemu.

Rekomendacja

Zaleca się aktualizację Chevereto do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, należy monitorować i ograniczać dostęp do interfejsów, które mogą być wykorzystywane do wstrzykiwania złośliwego kodu.

Oryginalny opis (angielski, źródło NVD)

Chevereto 3.13.4 Core contains a remote code execution vulnerability that allows attackers to inject malicious code during database configuration installation. Attackers can manipulate the database table prefix parameter to write a PHP shell file and execute arbitrary system commands through a crafted POST request.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS