Критична вразливість Zip Slip у CI4MS дозволяє віддалене виконання коду
Вразливість Zip Slip у CI4MS дозволяє віддалене виконання коду через некоректну обробку ZIP-архівів. Оновіть до версії 0.31.5.0 для захисту.
- CVSS
- 9.4 CRITICAL
- EPSS
- 40.79%
- Активно використовується
- немає в KEV
- Продукт
- -
Що відомо
У CI4MS до версії 0.31.5.0 функція відновлення резервних копій некоректно обробляє імена файлів у ZIP-архівах, що дозволяє автентифікованому користувачу з правами створення резервних копій записувати файли у довільні місця файлової системи та виконувати віддалений код. Проблема усунена у версії 0.31.5.0.
Бізнес-вплив
Ця вразливість може призвести до компрометації серверів, де використовується CI4MS, через можливість віддаленого виконання коду. Це створює серйозні ризики для безпеки веб-інфраструктури, включно з несанкціонованим доступом та потенційним порушенням цілісності даних. Власники та оператори ІТ-інфраструктури повинні терміново оцінити вплив і вжити заходів для захисту систем.
Рекомендовані дії адміністратора
Адміністраторам рекомендується оновити CI4MS до версії 0.31.5.0 або новішої, перевірити журнали на наявність підозрілої активності, обмежити права користувачів, які можуть створювати резервні копії, та мінімізувати експозицію системи в мережі. Якщо оновлення неможливе, слід розглянути тимчасові заходи для обмеження доступу до функції відновлення резервних копій.