Krytyczna luka Zip Slip w CI4MS umożliwia zdalne wykonanie kodu
CVE-2026-41202 to krytyczna luka w CI4MS umożliwiająca zdalne wykonanie kodu przez nieprawidłowe rozpakowywanie archiwów ZIP. Zalecana natychmiastowa aktualizacja.
- CVSS
- 9.4 CRITICAL
- EPSS
- 40.79%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
W CI4MS, systemie CMS opartym na CodeIgniter 4, funkcja przywracania kopii zapasowej przed wersją 0.31.5.0 nie weryfikowała nazw plików w archiwach ZIP, co pozwalało uwierzytelnionemu użytkownikowi z uprawnieniami tworzenia kopii zapasowej na zapis plików w dowolnej lokalizacji systemu plików i zdalne wykonanie kodu poprzez umieszczenie pliku PHP w katalogu publicznym.
Wpływ biznesowy
Luka ta stanowi poważne zagrożenie dla bezpieczeństwa aplikacji i infrastruktury, umożliwiając atakującemu przejęcie kontroli nad serwerem poprzez zdalne wykonanie kodu. Może to skutkować utratą danych, przerwami w działaniu usług oraz naruszeniem integralności systemu. Operatorzy powinni traktować tę lukę jako krytyczną i priorytetowo wdrożyć odpowiednie środki zaradcze.
Rekomendowane działania administratora
Zaleca się niezwłoczne zaktualizowanie CI4MS do wersji 0.31.5.0 lub nowszej, w której luka została załatana. W przypadku braku możliwości natychmiastowej aktualizacji, ogranicz uprawnienia użytkowników do tworzenia kopii zapasowych oraz monitoruj logi systemowe pod kątem podejrzanej aktywności. Przeglądaj i ogranicz ekspozycję serwera na nieautoryzowany dostęp oraz stosuj zasady bezpieczeństwa dotyczące przesyłania i rozpakowywania plików ZIP.