CVE-2024-14037
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 49 — wyżej niż 49% wszystkich znanych CVE
Streszczenie
Redsea Cloud eHR zawiera podatność na dowolne przesyłanie plików, która pozwala nieuwierzytelnionym atakującym na zdalne wykonanie kodu poprzez przesłanie złośliwych plików przez servlet PtFjk.mob. Atakujący mogą wysłać żądanie POST z wieloczęściową zawartością, maskując webshell JSP jako obraz JPEG, aby ominąć brak walidacji rozszerzenia i typu MIME, a plik jest zapisywany w przewidywalnej lokalizacji w katalogu uploadfile i wykonywany bezpośrednio przez serwer WWW.
Ocena ryzyka
Ryzyko dla organizacji obejmuje całkowite przejęcie serwera aplikacji, kradzież danych oraz możliwość dalszego ataku na infrastrukturę wewnętrzną, ponieważ atakujący może wykonywać dowolny kod na serwerze.
Rekomendacja
Należy natychmiast zaktualizować Redsea Cloud eHR do najnowszej wersji, wdrożyć walidację rozszerzeń i typów MIME dla przesyłanych plików oraz ograniczyć dostęp do servletu PtFjk.mob tylko dla uwierzytelnionych użytkowników.
Oryginalny opis (angielski, źródło NVD)
Redsea Cloud eHR contains an arbitrary file upload vulnerability that allows unauthenticated attackers to achieve remote code execution by uploading malicious files through the PtFjk.mob servlet endpoint. Attackers can submit a multipart POST request with a JSP webshell disguised using a spoofed image/jpeg Content-Type to bypass the absence of extension and MIME type validation, with the uploaded file stored at a predictable path under the uploadfile directory and executed directly by the web server. Exploitation evidence was first observed by the Shadowserver Foundation on 2024-11-03 (UTC).

