Katalog CVE

CVE-2021-47667

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W bibliotece lib/NSSDropoff.php w ZendTo w wersjach od 5.24-3 do 6.x przed 6.10-7 występuje podatność na wstrzykiwanie poleceń systemowych. Umożliwia to nieautoryzowanym zdalnym atakującym wykonywanie dowolnych poleceń za pomocą metaznaków powłoki w parametrze tmp_name podczas przesyłania pliku za pomocą żądania POST /dropoff.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ pozwala atakującym na zdalne wykonywanie poleceń, co może prowadzić do przejęcia kontroli nad systemem. Może to skutkować utratą danych, naruszeniem poufności oraz dostępem do wrażliwych informacji.

Rekomendacja

Zaleca się aktualizację ZendTo do wersji 6.10-7 lub nowszej, aby usunąć tę podatność. Dodatkowo warto wdrożyć mechanizmy zabezpieczające, takie jak filtrowanie danych wejściowych i monitorowanie aktywności systemu.

Oryginalny opis (angielski, źródło NVD)

An OS command injection vulnerability in lib/NSSDropoff.php in ZendTo 5.24-3 through 6.x before 6.10-7 allows unauthenticated remote attackers to execute arbitrary commands via shell metacharacters in the tmp_name parameter when dropping off a file via a POST /dropoff request.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS