Katalog CVE

CVE-2026-42853

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.43%

Percentyl 34 - wyżej niż 34% wszystkich znanych CVE

Streszczenie

ApostropheCMS to otwartoźródłowy system zarządzania treścią oparty na Node.js. W wersjach pakietu @apostrophecms/cli do i włącznie z 3.6.0 występuje podatność na wstrzykiwanie poleceń w komendzie apos create, która pozwala na wykonanie dowolnych poleceń na systemie gospodarza.

Ocena ryzyka

Wykorzystanie tej podatności może prowadzić do nieautoryzowanego dostępu i pełnej kontroli nad systemem, co stanowi poważne zagrożenie dla bezpieczeństwa organizacji.

Rekomendacja

Zaleca się aktualizację do wersji, w której ta podatność została załatana, oraz wprowadzenie dodatkowych mechanizmów zabezpieczających, aby ograniczyć możliwość wstrzykiwania poleceń.

Oryginalny opis (angielski, źródło NVD)

ApostropheCMS is an open-source Node.js content management system. Versions of the @apostrophecms/cli package up to and including 3.6.0 contain a command injection vulnerability in the apos create command. User-supplied input from the password prompt is embedded directly into a shell command without proper sanitization or escaping. This allows execution of arbitrary commands on the host system. As of time of publication, no known patched versions are available.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS