Katalog CVE

CVE-2025-57633

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W FTP-Flask-python występuje podatność na wstrzykiwanie poleceń, która pozwala nieautoryzowanym zdalnym atakującym na wykonywanie dowolnych poleceń systemowych. Punkt końcowy /ftp.html w akcji 'Upload File' konstruuje polecenie powłoki z parametru ftp_file i wykonuje je za pomocą os.system() bez odpowiedniego oczyszczania lub ucieczki.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym zdalne wykonywanie poleceń systemowych, co może prowadzić do przejęcia kontroli nad systemem. Może to skutkować utratą danych, naruszeniem poufności oraz dostępem do wrażliwych informacji.

Rekomendacja

Zaleca się natychmiastowe wprowadzenie poprawek, które będą odpowiednio sanitizować i uciekać parametry wejściowe przed ich użyciem w poleceniach systemowych. Dodatkowo, warto rozważyć ograniczenie dostępu do punktu końcowego /ftp.html tylko dla autoryzowanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

A command injection vulnerability in FTP-Flask-python through 5173b68 allows unauthenticated remote attackers to execute arbitrary OS commands. The /ftp.html endpoint's "Upload File" action constructs a shell command from the ftp_file parameter and executes it using os.system() without sanitization or escaping.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS