Krytyczna luka OS Command Injection w baserCMS przed wersją 5.2.3
Krytyczna luka OS command injection w baserCMS przed wersją 5.2.3 umożliwia wykonanie dowolnych poleceń systemowych. Zalecana szybka aktualizacja.
- CVSS
- 9.1 CRITICAL
- EPSS
- 81.03%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- basercms
Co wiadomo
W baserCMS, popularnym frameworku do tworzenia stron internetowych, wykryto krytyczną lukę OS command injection w funkcji aktualizacji rdzenia. Luka pozwala uwierzytelnionemu administratorowi na wykonanie dowolnych poleceń systemowych na serwerze poprzez niewłaściwe przetwarzanie danych wejściowych przekazywanych do funkcji exec().
Wpływ biznesowy
Eksploatacja tej luki może prowadzić do pełnego przejęcia kontroli nad serwerem, co zagraża integralności i dostępności usług internetowych opartych na baserCMS. Atakujący mogą wykonywać dowolne polecenia systemowe, co może skutkować wyciekiem danych, uszkodzeniem systemu lub dalszym rozprzestrzenianiem się zagrożeń w infrastrukturze IT.
Rekomendowane działania administratora
Zaleca się niezwłoczne zaktualizowanie baserCMS do wersji 5.2.3 lub nowszej, gdzie luka została załatana. W przypadku braku możliwości natychmiastowej aktualizacji, należy ograniczyć dostęp administratorów do systemu, monitorować logi pod kątem podejrzanej aktywności oraz przeprowadzić przegląd uprawnień i zabezpieczeń serwera. Priorytetowo traktuj wdrożenie poprawek i weryfikację środowiska.