W systemie EyouCMS v1.6.4 istnieje podatność klasy file inclusion w module konfiguracji szablonów, umożliwiająca zdalne wykonanie kodu. Atakujący bez żadnego uwierzytelnienia może przejąć pełną kontrolę nad serwerem.
▸ Pokaż oryginał (EN)
There is a PHP file inclusion vulnerability in the template configuration of eyoucms v1.6.4, allowing attackers to execute code or system commands through a carefully crafted malicious payload.
Podatność (CWE-434) wynika z braku odpowiedniej walidacji plików dołączanych przez mechanizm konfiguracji szablonów. Atakujący może spreparować złośliwy payload zawierający ścieżkę do kontrolowanego przez siebie pliku PHP lub innego zasobu. Po przetworzeniu takiego payloadu przez aplikację, serwer wykonuje zawarty w nim kod lub polecenia systemowe. Ze względu na wektor sieciowy bez wymagań dotyczących uwierzytelnienia (AV:N/PR:N/UI:N), atak może być przeprowadzony zdalnie przez dowolną osobę.
Atakujący może wykonać dowolny kod lub polecenia systemowe na serwerze, co prowadzi do pełnego przejęcia systemu, kradzieży danych, modyfikacji treści serwisu oraz potencjalnego wykorzystania serwera jako punktu wyjścia do dalszych ataków.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się również ograniczenie dostępu do panelu administracyjnego i modułu konfiguracji szablonów wyłącznie do zaufanych adresów IP.
EyouCMS w wersji v1.6.4
Podatność została zgłoszona i opisana przez użytkownika Nacl122 w repozytorium GitHub (CVEReport). Ocena CVSS 9.8 wskazuje na krytyczną wagę — brak wpisu w CISA KEV nie wyklucza aktywnego wykorzystania w środowiskach produkcyjnych.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HEyoucms
APPEyoucms1.6.4
Powiązane podatności
EyouCMS v1.5.4 was discovered to lack parameter filtering in \user\controller\shop.php, leading to payment log...
EyouCMS v1.5.5 was discovered to have no access control in the component /data/sqldata.
SQL Injection vulnerability in eyoucms cms v1.4.7, allows attackers to execute arbitrary code and disclose sen...
eyoucms 1.5.4 lacks sanitization of input data, allowing an attacker to inject a url to trigger blind SSRF via...
XML external entity (XXE) injection in eyoucms v1.7.1 allows remote attackers to cause a denial of service via...