Критична вразливість PHP-коду в OpenCATS дозволяє віддалене виконання коду

Вразливість в OpenCATS дозволяє віддалене виконання PHP-коду через інсталятор. Рекомендується термінове оновлення та обмеження доступу.
CVE-2026-27760CVSS 9.2Web

Критична вразливість PHP-коду в OpenCATS дозволяє віддалене виконання коду

Вразливість в OpenCATS дозволяє віддалене виконання PHP-коду через інсталятор. Рекомендується термінове оновлення та обмеження доступу.

CVSS
9.2 CRITICAL
EPSS
97.38%
Активно використовується
немає в KEV
Продукт
-

Що відомо

У OpenCATS до коміту 3002a29 виявлено критичну вразливість ін’єкції PHP-коду через AJAX-ендпоінт інсталятора. Незареєстровані зловмисники можуть виконувати довільний PHP-код, впроваджуючи шкідливі команди в параметр databaseConnectivity, що зберігаються і виконуються при кожному завантаженні сторінки, поки інсталяція не завершена.

Бізнес-вплив

Ця вразливість дозволяє віддаленим атакам виконувати довільний код на сервері без автентифікації, що може призвести до повного контролю над системою, компрометації даних та порушення роботи сервісу. Власники інфраструктури повинні терміново оцінити ризики та вжити заходів для запобігання експлуатації цієї вразливості.

Рекомендовані дії адміністратора

Рекомендується негайно оновити OpenCATS до версії після коміту 3002a29, що містить виправлення. Якщо оновлення неможливе, слід обмежити доступ до інсталятора, перевірити логи на ознаки експлуатації, а також провести аудит безпеки. Важливо завершити процес інсталяції, щоб уникнути виконання шкідливого коду.

Джерела