Krytyczna luka PHP code injection w OpenCATS przed commit 3002a29

OpenCATS przed commit 3002a29 podatny na krytyczną lukę PHP code injection umożliwiającą zdalne wykonanie kodu. Zalecane szybkie aktualizacje i ograniczenia dostępu.
CVE-2026-27760CVSS 9.2Web

Krytyczna luka PHP code injection w OpenCATS przed commit 3002a29

OpenCATS przed commit 3002a29 podatny na krytyczną lukę PHP code injection umożliwiającą zdalne wykonanie kodu. Zalecane szybkie aktualizacje i ograniczenia dostępu.

CVSS
9.2 CRITICAL
EPSS
97.38%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

OpenCATS zawiera krytyczną lukę PHP code injection w endpointzie AJAX instalatora, umożliwiającą nieautoryzowanym atakującym wykonanie dowolnego kodu PHP poprzez wstrzyknięcie złośliwych poleceń do parametru databaseConnectivity. Luka pozwala na trwałe wykonanie kodu przy każdym ładowaniu strony, jeśli kreator instalacji nie został ukończony.

Wpływ biznesowy

Luka o wysokim poziomie krytyczności (CVSS 9.2) umożliwia zdalne wykonanie kodu bez uwierzytelnienia, co może prowadzić do przejęcia kontroli nad serwerem aplikacji. Operatorzy systemów korzystających z podatnej wersji OpenCATS powinni traktować tę lukę jako priorytetową ze względu na ryzyko poważnych naruszeń bezpieczeństwa i utraty danych.

Rekomendowane działania administratora

Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji lub poprawek od dostawcy OpenCATS oraz ich szybkie wdrożenie. W przypadku braku łatki należy ograniczyć dostęp do instalatora, ukończyć proces instalacji, monitorować logi pod kątem podejrzanej aktywności oraz priorytetyzować działania naprawcze w oparciu o ryzyko ekspozycji systemu.

Źródła