CVE-2026-41315
KrytyczneStreszczenie
mdserver-web w wersjach od 0.18.0 do 0.18.4 posiada podatność na zdalne wykonanie poleceń bez autoryzacji w interfejsach /modify_crond i /start_task. Brak autoryzacji umożliwia modyfikację domyślnych zadań zaplanowanych oraz ich uruchamianie, co prowadzi do RCE.
Ocena ryzyka
Organizacje korzystające z podatnej wersji mdserver-web mogą być narażone na zdalne wykonanie poleceń przez nieautoryzowanych użytkowników, co może prowadzić do poważnych naruszeń bezpieczeństwa.
Rekomendacja
Zaleca się aktualizację mdserver-web do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie odpowiednich mechanizmów autoryzacji dla interfejsów.
Oryginalny opis (angielski, źródło NVD)
mdserver-web is a simple Linux panel. From 0.18.0 to 0.18.4, mdserver-web has a front-end unauthorized remote command execution vulnerability. Due to the lack of authentication on the /modify_crond and /start_task interfaces, it is possible to modify the default built-in scheduled tasks and start them, achieving RCE.

