Krytyczna luka deserializacji w HestiaCP umożliwiająca zdalne wykonanie kodu na poziomie root
Krytyczna luka deserializacji w HestiaCP 1.9.0-1.9.4 pozwala na zdalne wykonanie kodu z uprawnieniami root. Zalecane szybkie działania zabezpieczające.
- CVSS
- 9.5 CRITICAL
- EPSS
- 60.81%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
W wersjach HestiaCP od 1.9.0 do 1.9.4 wykryto krytyczną lukę deserializacji w komponencie web terminala, wynikającą z niezgodności formatu sesji między PHP a Node.js. Luka pozwala nieautoryzowanym atakującym na zdalne wykonanie kodu z uprawnieniami root poprzez wstrzyknięcie spreparowanych danych w nagłówkach HTTP.
Wpływ biznesowy
Eksploatacja tej luki umożliwia atakującym przejęcie pełnej kontroli nad systemem z włączoną funkcją web terminala, co może prowadzić do poważnych naruszeń bezpieczeństwa, utraty danych oraz przerw w działaniu usług. Operatorzy infrastruktury powinni traktować tę podatność jako krytyczną i priorytetowo podejść do jej eliminacji.
Rekomendowane działania administratora
Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji lub poprawek od dostawcy HestiaCP oraz ich wdrożenie. W przypadku braku łatki należy ograniczyć dostęp do funkcji web terminala, monitorować logi pod kątem podejrzanej aktywności i stosować zasady minimalizacji ekspozycji systemu na zewnętrzne ataki.