Krytyczna luka Zip Slip w CI4MS umożliwia zdalne wykonanie kodu

CVE-2026-41202 to krytyczna luka w CI4MS umożliwiająca zdalne wykonanie kodu przez nieprawidłowe rozpakowywanie archiwów ZIP. Zalecana natychmiastowa aktualizacja.
CVE-2026-41202CVSS 9.4Web

Krytyczna luka Zip Slip w CI4MS umożliwia zdalne wykonanie kodu

CVE-2026-41202 to krytyczna luka w CI4MS umożliwiająca zdalne wykonanie kodu przez nieprawidłowe rozpakowywanie archiwów ZIP. Zalecana natychmiastowa aktualizacja.

CVSS
9.4 CRITICAL
EPSS
40.79%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

W CI4MS, systemie CMS opartym na CodeIgniter 4, funkcja przywracania kopii zapasowej przed wersją 0.31.5.0 nie weryfikowała nazw plików w archiwach ZIP, co pozwalało uwierzytelnionemu użytkownikowi z uprawnieniami tworzenia kopii zapasowej na zapis plików w dowolnej lokalizacji systemu plików i zdalne wykonanie kodu poprzez umieszczenie pliku PHP w katalogu publicznym.

Wpływ biznesowy

Luka ta stanowi poważne zagrożenie dla bezpieczeństwa aplikacji i infrastruktury, umożliwiając atakującemu przejęcie kontroli nad serwerem poprzez zdalne wykonanie kodu. Może to skutkować utratą danych, przerwami w działaniu usług oraz naruszeniem integralności systemu. Operatorzy powinni traktować tę lukę jako krytyczną i priorytetowo wdrożyć odpowiednie środki zaradcze.

Rekomendowane działania administratora

Zaleca się niezwłoczne zaktualizowanie CI4MS do wersji 0.31.5.0 lub nowszej, w której luka została załatana. W przypadku braku możliwości natychmiastowej aktualizacji, ogranicz uprawnienia użytkowników do tworzenia kopii zapasowych oraz monitoruj logi systemowe pod kątem podejrzanej aktywności. Przeglądaj i ogranicz ekspozycję serwera na nieautoryzowany dostęp oraz stosuj zasady bezpieczeństwa dotyczące przesyłania i rozpakowywania plików ZIP.

Źródła