CRITICAL🇬🇧 English

CVE-2022-23851

SSTI w Netaxis API Orchestrator umożliwia zdalne wykonanie kodu

CVSS 9.8v3.1pub. 2025-12-17upd. 2026-01-05

Netaxis API Orchestrator (APIO) w wersjach przed 0.19.3 jest podatny na Server-Side Template Injection (SSTI). Jest to podatność krytyczna, ponieważ nieuwierzytelniony atakujący może ją wykorzystać zdalnie do przejęcia kontroli nad serwerem.

Pokaż oryginał (EN)

Netaxis API Orchestrator (APIO) before 0.19.3 allows server side template injection (SSTI).

🤖 Analiza AI
Jak działa

SSTI (Server-Side Template Injection) polega na wstrzyknięciu złośliwego kodu do szablonu przetwarzanego po stronie serwera. Atakujący dostarcza specjalnie spreparowane dane wejściowe, które silnik szablonów interpretuje i wykonuje jako kod zamiast traktować je jako zwykły tekst. W przypadku podatności sklasyfikowanej jako CWE-1336 oznacza to nieprawidłową neutralizację danych wejściowych w szablonach, co umożliwia wykonanie dowolnych instrukcji w kontekście aplikacji lub systemu operacyjnego.

Skutki

Atakujący może uzyskać pełną kontrolę nad serwerem, w tym odczytywać i modyfikować poufne dane, wykonywać dowolne polecenia systemowe (RCE) oraz potencjalnie prowadzić lateral movement w infrastrukturze ofiary.

Mitygacja

Należy zaktualizować Netaxis API Orchestrator do wersji 0.19.3 lub nowszej. Zaleca się również ograniczenie dostępu sieciowego do interfejsu API wyłącznie do zaufanych źródeł jako środek ochrony uzupełniającej.

Kogo dotyczy

Netaxis API Orchestrator (APIO) w wersjach przed 0.19.3

Uwagi

Podatność posiada publiczny opis techniczny dostępny pod adresem blog.tig00r.me, co może ułatwić jej wykorzystanie przez atakujących.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Netaxis Api Orchestrator

    APP
    Netaxis
    < 0.19.3
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje