Katalog CVE

CVE-2024-44373

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W AllSky w wersjach od 2023.05.01 do 2024.12.06_06 występuje podatność typu Path Traversal, która pozwala nieautoryzowanemu atakującemu na stworzenie webshella oraz zdalne wykonanie kodu poprzez parametr path w pliku /includes/save_file.php.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym zdalne przejęcie kontroli nad systemem i wykonanie dowolnego kodu.

Rekomendacja

Zaleca się aktualizację AllSky do najnowszej wersji oraz wdrożenie odpowiednich środków zabezpieczających, aby zminimalizować ryzyko wykorzystania tej podatności.

Oryginalny opis (angielski, źródło NVD)

A Path Traversal vulnerability in AllSky v2023.05.01 through v2024.12.06_06 allows an unauthenticated attacker to create a webshell and remote code execution via the path, content parameter to /includes/save_file.php.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS