CVE-2025-70831
KrytyczneStreszczenie
W aplikacji Smanga w wersji 3.2.7 odkryto podatność na zdalne wykonanie kodu (RCE) w interfejsie /php/path/rescan.php. Aplikacja nieprawidłowo sanitizuje dane wejściowe dostarczane przez użytkownika w parametrze mediaId, co pozwala na wstrzyknięcie dowolnych poleceń systemowych.
Ocena ryzyka
Podatność ta umożliwia nieautoryzowanemu atakującemu przejęcie kontroli nad serwerem, co może prowadzić do poważnych konsekwencji dla bezpieczeństwa organizacji.
Rekomendacja
Zaleca się aktualizację aplikacji Smanga do najnowszej wersji oraz wdrożenie odpowiednich mechanizmów sanitizacji danych wejściowych, aby zminimalizować ryzyko ataków.
Oryginalny opis (angielski, źródło NVD)
A Remote Code Execution (RCE) vulnerability was found in Smanga 3.2.7 in the /php/path/rescan.php interface. The application fails to properly sanitize user-supplied input in the mediaId parameter before using it in a system shell command. This allows an unauthenticated attacker to inject arbitrary operating system commands, leading to complete server compromise.

