Krytyczna luka OS Command Injection w baserCMS przed wersją 5.2.3

Krytyczna luka OS command injection w baserCMS przed wersją 5.2.3 umożliwia wykonanie dowolnych poleceń systemowych. Zalecana szybka aktualizacja.
CVE-2026-21861CVSS 9.1General

Krytyczna luka OS Command Injection w baserCMS przed wersją 5.2.3

Krytyczna luka OS command injection w baserCMS przed wersją 5.2.3 umożliwia wykonanie dowolnych poleceń systemowych. Zalecana szybka aktualizacja.

CVSS
9.1 CRITICAL
EPSS
81.03%
Aktywnie wykorzystywana
brak w KEV
Produkt
basercms

Co wiadomo

W baserCMS, popularnym frameworku do tworzenia stron internetowych, wykryto krytyczną lukę OS command injection w funkcji aktualizacji rdzenia. Luka pozwala uwierzytelnionemu administratorowi na wykonanie dowolnych poleceń systemowych na serwerze poprzez niewłaściwe przetwarzanie danych wejściowych przekazywanych do funkcji exec().

Wpływ biznesowy

Eksploatacja tej luki może prowadzić do pełnego przejęcia kontroli nad serwerem, co zagraża integralności i dostępności usług internetowych opartych na baserCMS. Atakujący mogą wykonywać dowolne polecenia systemowe, co może skutkować wyciekiem danych, uszkodzeniem systemu lub dalszym rozprzestrzenianiem się zagrożeń w infrastrukturze IT.

Rekomendowane działania administratora

Zaleca się niezwłoczne zaktualizowanie baserCMS do wersji 5.2.3 lub nowszej, gdzie luka została załatana. W przypadku braku możliwości natychmiastowej aktualizacji, należy ograniczyć dostęp administratorów do systemu, monitorować logi pod kątem podejrzanej aktywności oraz przeprowadzić przegląd uprawnień i zabezpieczeń serwera. Priorytetowo traktuj wdrożenie poprawek i weryfikację środowiska.

Źródła