Katalog CVE

CVE-2022-50912

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

ImpressCMS w wersji 1.4.4 zawiera podatność na przesyłanie plików z słabą sanitizacją rozszerzeń, co pozwala atakującym na przesyłanie potencjalnie złośliwych plików. Atakujący mogą obejść ograniczenia przesyłania plików, używając alternatywnych rozszerzeń plików, takich jak .php2, .php6, .php7, .phps, .pht, aby wykonać dowolny kod PHP na serwerze.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla bezpieczeństwa serwera, umożliwiając atakującym uruchamianie złośliwego kodu, co może prowadzić do przejęcia kontroli nad systemem. Organizacje mogą być narażone na utratę danych oraz usunięcie lub modyfikację ważnych informacji.

Rekomendacja

Zaleca się aktualizację ImpressCMS do najnowszej wersji, która naprawia tę podatność. Dodatkowo, należy wprowadzić ścisłe kontrole dotyczące przesyłania plików oraz monitorować logi serwera w celu wykrywania podejrzanych działań.

Oryginalny opis (angielski, źródło NVD)

ImpressCMS 1.4.4 contains a file upload vulnerability with weak extension sanitization that allows attackers to upload potentially malicious files. Attackers can bypass file upload restrictions by using alternative file extensions .php2.php6.php7.phps.pht to execute arbitrary PHP code on the server.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS