Netaxis API Orchestrator (APIO) w wersjach przed 0.19.3 jest podatny na Server-Side Template Injection (SSTI). Jest to podatność krytyczna, ponieważ nieuwierzytelniony atakujący może ją wykorzystać zdalnie do przejęcia kontroli nad serwerem.
▸ Pokaż oryginał (EN)
Netaxis API Orchestrator (APIO) before 0.19.3 allows server side template injection (SSTI).
SSTI (Server-Side Template Injection) polega na wstrzyknięciu złośliwego kodu do szablonu przetwarzanego po stronie serwera. Atakujący dostarcza specjalnie spreparowane dane wejściowe, które silnik szablonów interpretuje i wykonuje jako kod zamiast traktować je jako zwykły tekst. W przypadku podatności sklasyfikowanej jako CWE-1336 oznacza to nieprawidłową neutralizację danych wejściowych w szablonach, co umożliwia wykonanie dowolnych instrukcji w kontekście aplikacji lub systemu operacyjnego.
Atakujący może uzyskać pełną kontrolę nad serwerem, w tym odczytywać i modyfikować poufne dane, wykonywać dowolne polecenia systemowe (RCE) oraz potencjalnie prowadzić lateral movement w infrastrukturze ofiary.
Należy zaktualizować Netaxis API Orchestrator do wersji 0.19.3 lub nowszej. Zaleca się również ograniczenie dostępu sieciowego do interfejsu API wyłącznie do zaufanych źródeł jako środek ochrony uzupełniającej.
Netaxis API Orchestrator (APIO) w wersjach przed 0.19.3
Podatność posiada publiczny opis techniczny dostępny pod adresem blog.tig00r.me, co może ułatwić jej wykorzystanie przez atakujących.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HNetaxis Api Orchestrator
APPNetaxis< 0.19.3