Katalog CVE

CVE-2023-54339

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Webgrind w wersji 1.1 zawiera podatność na zdalne wykonanie poleceń, która pozwala nieautoryzowanym atakującym na wstrzykiwanie poleceń systemowych za pomocą parametru dataFile w pliku index.php. Atakujący mogą wykonywać dowolne polecenia systemowe, manipulując tym parametrem.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia atakującym zdalne wykonywanie poleceń na serwerze, co może prowadzić do przejęcia kontroli nad systemem.

Rekomendacja

Zaleca się aktualizację Webgrind do najnowszej wersji, aby usunąć tę podatność oraz wprowadzenie dodatkowych środków zabezpieczających, takich jak ograniczenie dostępu do aplikacji.

Oryginalny opis (angielski, źródło NVD)

Webgrind 1.1 contains a remote command execution vulnerability that allows unauthenticated attackers to inject OS commands via the dataFile parameter in index.php. Attackers can execute arbitrary system commands by manipulating the dataFile parameter, such as using payload '0%27%26calc.exe%26%27' to execute commands on the target system.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS