CRITICAL🇬🇧 English

CVE-2014-125115

Pandora FMS ≤5.0 SP2: SQLi + RCE poprzez upload web shell

CVSS 10.0v4.0pub. 2025-07-25upd. 2026-04-15

W systemie monitoringu Pandora FMS w wersji 5.0 SP2 i wcześniejszych istnieje nieuwierzytelniona podatność SQL injection, umożliwiająca przejęcie poświadczeń administratora. W połączeniu z drugą podatnością w komponencie File Manager pozwala to na zdalne wykonanie kodu (RCE) bez jakiejkolwiek autoryzacji.

Pokaż oryginał (EN)

An unauthenticated SQL injection vulnerability exists in Pandora FMS version 5.0 SP2 and earlier. The mobile/index.php endpoint fails to properly sanitize user input in the loginhash_data parameter, allowing attackers to extract administrator credentials or active session tokens via crafted requests. This occurs because input is directly concatenated into an SQL query without adequate validation, enabling SQL injection. After authentication is bypassed, a second vulnerability in the File Manager component permits arbitrary PHP file uploads. The file upload functionality does not enforce MIME-type or file extension restrictions, allowing authenticated users to upload web shells into a publicly accessible directory and achieve remote code execution.

🤖 Analiza AI
Jak działa

Punkt końcowy mobile/index.php nie sanityzuje parametru loginhash_data — dane wejściowe są bezpośrednio konkatenowane do zapytania SQL, co umożliwia atakującemu wyciągnięcie skrótu hasła administratora lub aktywnych tokenów sesji. Po uzyskaniu dostępu administracyjnego komponent File Manager nie weryfikuje typu MIME ani rozszerzenia wgrywanych plików, pozwalając na upload dowolnego pliku PHP (web shell) do publicznie dostępnego katalogu. Wykonanie web shella daje atakującemu pełną kontrolę nad serwerem.

Skutki

Atakujący może całkowicie przejąć serwer — uzyskać zdalny dostęp do powłoki systemowej (RCE), odczytać lub zmodyfikować dane w bazie, a następnie wykorzystać serwer jako punkt wejścia do dalszego lateral movement w sieci.

Mitygacja

Należy zaktualizować Pandora FMS do wersji 5.0 SP3 lub nowszej, w której opisane podatności zostały usunięte zgodnie z dokumentem wydania SP3 dostępnym w referencjach producenta. Do czasu aktualizacji należy ograniczyć dostęp do interfejsu webowego Pandora FMS wyłącznie do zaufanych adresów IP oraz wyłączyć dostęp do endpointu mobile/index.php z sieci publicznej.

Kogo dotyczy

Pandora FMS w wersji 5.0 SP2 i wcześniejszych

Uwagi

Dostępny jest publicznie moduł Metasploit Framework (rapid7/metasploit-framework) oraz exploit na Exploit-DB (ID 35380) obsługujący tę podatność, co znacząco obniża próg wejścia dla potencjalnych atakujących.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCESQLi
CWE
Referencje