Katalog CVE

CVE-2021-47936

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

OpenCATS w wersji 0.9.4 zawiera podatność na zdalne wykonanie kodu, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych poleceń poprzez przesyłanie złośliwych plików PHP podszywających się pod załączniki CV. Atakujący mogą przesyłać ładunki PHP przez punkt końcowy aplikacji o pracę i wykonywać polecenia systemowe za pomocą żądań POST do przesłanego pliku w katalogu przesyłania.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym zdalne wykonywanie kodu, co może prowadzić do przejęcia kontroli nad systemem. Niezabezpieczone aplikacje mogą być narażone na różnorodne ataki, w tym kradzież danych i usunięcie zasobów.

Rekomendacja

Zaleca się aktualizację OpenCATS do najnowszej wersji, która usuwa tę podatność. Dodatkowo, należy wdrożyć mechanizmy zabezpieczające, takie jak skanowanie przesyłanych plików oraz ograniczenie typów dozwolonych załączników.

Oryginalny opis (angielski, źródło NVD)

OpenCATS 0.9.4 contains a remote code execution vulnerability that allows unauthenticated attackers to execute arbitrary commands by uploading malicious PHP files disguised as resume attachments. Attackers can upload PHP payloads through the careers job application endpoint and execute system commands via POST requests to the uploaded file in the upload directory.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS