CVE-2024-50658
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Podwyższone ryzykoPercentyl 53 - wyżej niż 53% wszystkich znanych CVE
Streszczenie
W AdPortal 3.0.39 wykryto podatność na wstrzykiwanie szablonów po stronie serwera (SSTI). Zdalny atakujący może wykorzystać parametry shippingAsBilling i firstname w pliku updateuserinfo.html do wykonania dowolnego kodu.
Ocena ryzyka
Atakujący może przejąć kontrolę nad serwerem, wykraść dane lub zakłócić działanie systemu, co stanowi poważne zagrożenie dla poufności, integralności i dostępności.
Rekomendacja
Należy natychmiast zaktualizować AdPortal do najnowszej wersji, w której usunięto tę podatność, oraz przeprowadzić audyt bezpieczeństwa aplikacji.
Oryginalny opis (angielski, źródło NVD)
Server-Side Template Injection (SSTI) was found in AdPortal 3.0.39 allows a remote attacker to execute arbitrary code via the shippingAsBilling and firstname parameters in updateuserinfo.html file

