Критична вразливість у Froxlor дозволяє виконання довільного PHP-коду
Вразливість у Froxlor до 2.3.6 дозволяє виконання довільного PHP-коду через необроблені параметри API. Оновіть програмне забезпечення для безпеки.
- CVSS
- 9.1 CRITICAL
- EPSS
- 37.95%
- Активно використовується
- немає в KEV
- Продукт
- froxlor
Що відомо
У Froxlor до версії 2.3.6 існує вразливість, що дозволяє адміністраторам з правами зміни налаштувань серверів через API інжектувати необроблений PHP-код у файл userdata.inc.php. Це призводить до виконання довільного коду з правами веб-сервера при кожному запиті.
Бізнес-вплив
Вразливість може бути використана для виконання шкідливого коду на сервері, що ставить під загрозу цілісність і безпеку баз даних та серверної інфраструктури. Це може призвести до компрометації даних, порушення роботи сервісів та потенційних фінансових втрат. Операторам ІТ важливо швидко реагувати, щоб уникнути експлуатації цієї критичної проблеми.
Рекомендовані дії адміністратора
Рекомендується негайно оновити Froxlor до версії 2.3.6 або новішої, де ця вразливість виправлена. Якщо оновлення неможливе, слід обмежити права користувачів з можливістю змінювати налаштування серверів через API, перевірити журнали на ознаки експлуатації та мінімізувати доступ до файлу userdata.inc.php. Також варто регулярно переглядати оновлення від виробника та впроваджувати їх учасно.