Katalog CVE

CVE-2024-50658

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Podwyższone ryzyko
0.82%

Percentyl 53 - wyżej niż 53% wszystkich znanych CVE

Streszczenie

W AdPortal 3.0.39 wykryto podatność na wstrzykiwanie szablonów po stronie serwera (SSTI). Zdalny atakujący może wykorzystać parametry shippingAsBilling i firstname w pliku updateuserinfo.html do wykonania dowolnego kodu.

Ocena ryzyka

Atakujący może przejąć kontrolę nad serwerem, wykraść dane lub zakłócić działanie systemu, co stanowi poważne zagrożenie dla poufności, integralności i dostępności.

Rekomendacja

Należy natychmiast zaktualizować AdPortal do najnowszej wersji, w której usunięto tę podatność, oraz przeprowadzić audyt bezpieczeństwa aplikacji.

Oryginalny opis (angielski, źródło NVD)

Server-Side Template Injection (SSTI) was found in AdPortal 3.0.39 allows a remote attacker to execute arbitrary code via the shippingAsBilling and firstname parameters in updateuserinfo.html file

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS