Критична вразливість Zip Slip у CI4MS дозволяє віддалене виконання коду

Вразливість Zip Slip у CI4MS дозволяє віддалене виконання коду через некоректну обробку ZIP-архівів. Оновіть до версії 0.31.5.0 для захисту.
CVE-2026-41202CVSS 9.4Web

Критична вразливість Zip Slip у CI4MS дозволяє віддалене виконання коду

Вразливість Zip Slip у CI4MS дозволяє віддалене виконання коду через некоректну обробку ZIP-архівів. Оновіть до версії 0.31.5.0 для захисту.

CVSS
9.4 CRITICAL
EPSS
40.79%
Активно використовується
немає в KEV
Продукт
-

Що відомо

У CI4MS до версії 0.31.5.0 функція відновлення резервних копій некоректно обробляє імена файлів у ZIP-архівах, що дозволяє автентифікованому користувачу з правами створення резервних копій записувати файли у довільні місця файлової системи та виконувати віддалений код. Проблема усунена у версії 0.31.5.0.

Бізнес-вплив

Ця вразливість може призвести до компрометації серверів, де використовується CI4MS, через можливість віддаленого виконання коду. Це створює серйозні ризики для безпеки веб-інфраструктури, включно з несанкціонованим доступом та потенційним порушенням цілісності даних. Власники та оператори ІТ-інфраструктури повинні терміново оцінити вплив і вжити заходів для захисту систем.

Рекомендовані дії адміністратора

Адміністраторам рекомендується оновити CI4MS до версії 0.31.5.0 або новішої, перевірити журнали на наявність підозрілої активності, обмежити права користувачів, які можуть створювати резервні копії, та мінімізувати експозицію системи в мережі. Якщо оновлення неможливе, слід розглянути тимчасові заходи для обмеження доступу до функції відновлення резервних копій.

Джерела