Podatność klasy Static Code Injection w module Opigno dla Drupal pozwala atakującemu na wstrzyknięcie złośliwego kodu PHP poprzez mechanizm Local File Inclusion. Uzyskanie możliwości wykonania dowolnego kodu po stronie serwera bez uwierzytelnienia czyni tę podatność krytyczną.
▸ Pokaż oryginał (EN)
Improper Neutralization of Directives in Statically Saved Code ('Static Code Injection') vulnerability in Drupal Opigno module allows PHP Local File Inclusion.This issue affects Opigno module: from 0.0.0 before 3.1.2.
Moduł Opigno nieprawidłowo neutralizuje dyrektywy w statycznie zapisywanym kodzie (CWE-96), co umożliwia osadzenie złośliwych dyrektyw PHP w plikach zapisywanych przez aplikację. Następnie atakujący może doprowadzić do załadowania i wykonania tych plików przez interpreter PHP poprzez mechanizm Local File Inclusion. Atak nie wymaga żadnego uwierzytelnienia ani interakcji ze strony użytkownika, a wektor jest sieciowy z niską złożonością.
Atakujący może wykonać dowolny kod PHP na serwerze, co prowadzi do pełnego przejęcia kontroli nad aplikacją i serwerem, kradzieży danych, modyfikacji treści oraz potencjalnego lateral movement w infrastrukturze.
Należy zaktualizować moduł Opigno do wersji 3.1.2 lub nowszej. Szczegółowe informacje dostępne są w oficjalnym biuletynie bezpieczeństwa Drupal pod adresem https://www.drupal.org/sa-contrib-2024-028
Drupal Opigno Module we wszystkich wersjach od 0.0.0 do wersji wcześniejszych niż 3.1.2
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HOpigno Module
APPOpigno< 3.1.2
Powiązane podatności
Improper Neutralization of Directives in Statically Saved Code ('Static Code Injection') vulnerability in Drup...
Improper Neutralization of Directives in Statically Saved Code ('Static Code Injection') vulnerability in Drup...
Improper Neutralization of Directives in Statically Saved Code ('Static Code Injection') vulnerability in Drup...
Improper Neutralization of Directives in Statically Saved Code ('Static Code Injection') vulnerability in Drup...