CVE-2024-44373
KrytyczneStreszczenie
W AllSky w wersjach od 2023.05.01 do 2024.12.06_06 występuje podatność typu Path Traversal, która pozwala nieautoryzowanemu atakującemu na stworzenie webshella oraz zdalne wykonanie kodu poprzez parametr path w pliku /includes/save_file.php.
Ocena ryzyka
Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym zdalne przejęcie kontroli nad systemem i wykonanie dowolnego kodu.
Rekomendacja
Zaleca się aktualizację AllSky do najnowszej wersji oraz wdrożenie odpowiednich środków zabezpieczających, aby zminimalizować ryzyko wykorzystania tej podatności.
Oryginalny opis (angielski, źródło NVD)
A Path Traversal vulnerability in AllSky v2023.05.01 through v2024.12.06_06 allows an unauthenticated attacker to create a webshell and remote code execution via the path, content parameter to /includes/save_file.php.

