Krytyczna luka PHP code injection w OpenCATS przed commit 3002a29
OpenCATS przed commit 3002a29 podatny na krytyczną lukę PHP code injection umożliwiającą zdalne wykonanie kodu. Zalecane szybkie aktualizacje i ograniczenia dostępu.
- CVSS
- 9.2 CRITICAL
- EPSS
- 97.38%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
OpenCATS zawiera krytyczną lukę PHP code injection w endpointzie AJAX instalatora, umożliwiającą nieautoryzowanym atakującym wykonanie dowolnego kodu PHP poprzez wstrzyknięcie złośliwych poleceń do parametru databaseConnectivity. Luka pozwala na trwałe wykonanie kodu przy każdym ładowaniu strony, jeśli kreator instalacji nie został ukończony.
Wpływ biznesowy
Luka o wysokim poziomie krytyczności (CVSS 9.2) umożliwia zdalne wykonanie kodu bez uwierzytelnienia, co może prowadzić do przejęcia kontroli nad serwerem aplikacji. Operatorzy systemów korzystających z podatnej wersji OpenCATS powinni traktować tę lukę jako priorytetową ze względu na ryzyko poważnych naruszeń bezpieczeństwa i utraty danych.
Rekomendowane działania administratora
Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji lub poprawek od dostawcy OpenCATS oraz ich szybkie wdrożenie. W przypadku braku łatki należy ograniczyć dostęp do instalatora, ukończyć proces instalacji, monitorować logi pod kątem podejrzanej aktywności oraz priorytetyzować działania naprawcze w oparciu o ryzyko ekspozycji systemu.