Критична вразливість RCE в Grav через завантаження ZIP-файлів
Критична вразливість у Grav дозволяє віддалене виконання коду через завантаження шкідливих ZIP-файлів. Оновіть до версії 2.0.0-beta.2 для захисту.
- CVSS
- 9.1 CRITICAL
- EPSS
- 89.12%
- Активно використовується
- немає в KEV
- Продукт
- -
Що відомо
У Grav до версії 2.0.0-beta.2 автентифікований адміністратор може виконати віддалене виконання коду, завантажуючи спеціально сформований ZIP-файл через інструмент «Direct Install». Система не перевіряє вміст архівів, що дозволяє запускати довільний PHP-код або встановлювати стійкий веб-шелл.
Бізнес-вплив
Ця вразливість дозволяє зловмиснику з правами адміністратора на сервері Grav виконувати довільний код, що може призвести до повного контролю над веб-сервером і компрометації даних. Власники інфраструктури повинні розглядати цю проблему як критичну через високий рівень ризику та потенційні наслідки для безпеки.
Рекомендовані дії адміністратора
Адміністраторам слід негайно оновити Grav до версії 2.0.0-beta.2 або новішої, перевірити журнали на ознаки підозрілої активності, обмежити доступ до інструменту «Direct Install» лише довіреним користувачам і регулярно контролювати завантаження файлів. Якщо оновлення неможливе, рекомендується обмежити права користувачів та посилити моніторинг системи.