Katalog CVE

CVE-2021-47812

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

GravCMS w wersji 1.10.7 zawiera podatność, która pozwala nieautoryzowanym atakującym na zapis dowolnych konfiguracji YAML oraz wykonanie kodu PHP poprzez punkt końcowy harmonogramu. Atakujący mogą wykorzystać parametr admin-nonce do wstrzykiwania ładunków zakodowanych w base64 i tworzenia złośliwych zadań z wykonaniem poleceń systemowych.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym zdalne wykonywanie kodu i potencjalne przejęcie kontroli nad systemem. Może to prowadzić do utraty danych oraz naruszenia integralności systemu.

Rekomendacja

Zaleca się aktualizację GravCMS do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto wprowadzić dodatkowe zabezpieczenia, takie jak monitorowanie i ograniczenie dostępu do punktów końcowych harmonogramu.

Oryginalny opis (angielski, źródło NVD)

GravCMS 1.10.7 contains an unauthenticated vulnerability that allows remote attackers to write arbitrary YAML configuration and execute PHP code through the scheduler endpoint. Attackers can exploit the admin-nonce parameter to inject base64-encoded payloads and create malicious custom jobs with system command execution.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS