CVE-2024-9441
KrytyczneStreszczenie
Seria e3 od Linear eMerge do wersji 1.00-07 jest podatna na atak typu injection poleceń systemowych. Zdalny, nieautoryzowany atakujący może wykonać dowolne polecenia systemowe poprzez parametr login_id, korzystając z funkcji resetowania hasła przez HTTP.
Ocena ryzyka
Podatność ta może prowadzić do przejęcia kontroli nad systemem przez atakującego, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji. Wykorzystanie tej luki może skutkować utratą danych lub nieautoryzowanym dostępem do systemów.
Rekomendacja
Zaleca się aktualizację oprogramowania do najnowszej wersji, która eliminuje tę podatność. Dodatkowo, warto wdrożyć mechanizmy zabezpieczające, takie jak filtrowanie danych wejściowych i monitorowanie aktywności użytkowników.
Oryginalny opis (angielski, źródło NVD)
The Linear eMerge e3-Series through version 1.00-07 is vulnerable to an OS command injection vulnerability. A remote and unauthenticated attacker can execute arbitrary OS commands via the login_id parameter when invoking the forgot_password functionality over HTTP.

