Katalog CVE

CVE-2021-47900

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wersje Gila CMS przed 2.0.0 zawierają podatność na zdalne wykonanie kodu, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych poleceń systemowych poprzez manipulowane nagłówki HTTP. Atakujący mogą wstrzykiwać kod PHP w nagłówku User-Agent, wykorzystując shell_exec() do uruchamiania poleceń systemowych, wysyłając odpowiednio skonstruowane żądania do punktu końcowego administratora.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym zdalne wykonywanie poleceń systemowych, co może prowadzić do przejęcia kontroli nad systemem. Niekontrolowany dostęp do krytycznych funkcji może skutkować utratą danych lub naruszeniem bezpieczeństwa.

Rekomendacja

Zaleca się aktualizację Gila CMS do wersji 2.0.0 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto monitorować i ograniczać dostęp do punktów końcowych administracyjnych oraz stosować odpowiednie zabezpieczenia nagłówków HTTP.

Oryginalny opis (angielski, źródło NVD)

Gila CMS versions prior to 2.0.0 contain a remote code execution vulnerability that allows unauthenticated attackers to execute arbitrary system commands through manipulated HTTP headers. Attackers can inject PHP code in the User-Agent header with shell_exec() to run system commands by sending crafted requests to the admin endpoint.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS