CRITICAL🇬🇧 English

CVE-2024-13264

Static Code Injection umożliwiający PHP Local File Inclusion w Drupal Opigno Module

CVSS 9.8v3.1pub. 2025-01-09upd. 2025-08-27

Podatność klasy Static Code Injection w module Opigno dla Drupal pozwala atakującemu na wstrzyknięcie złośliwego kodu PHP poprzez mechanizm Local File Inclusion. Uzyskanie możliwości wykonania dowolnego kodu po stronie serwera bez uwierzytelnienia czyni tę podatność krytyczną.

Pokaż oryginał (EN)

Improper Neutralization of Directives in Statically Saved Code ('Static Code Injection') vulnerability in Drupal Opigno module allows PHP Local File Inclusion.This issue affects Opigno module: from 0.0.0 before 3.1.2.

🤖 Analiza AI
Jak działa

Moduł Opigno nieprawidłowo neutralizuje dyrektywy w statycznie zapisywanym kodzie (CWE-96), co umożliwia osadzenie złośliwych dyrektyw PHP w plikach zapisywanych przez aplikację. Następnie atakujący może doprowadzić do załadowania i wykonania tych plików przez interpreter PHP poprzez mechanizm Local File Inclusion. Atak nie wymaga żadnego uwierzytelnienia ani interakcji ze strony użytkownika, a wektor jest sieciowy z niską złożonością.

Skutki

Atakujący może wykonać dowolny kod PHP na serwerze, co prowadzi do pełnego przejęcia kontroli nad aplikacją i serwerem, kradzieży danych, modyfikacji treści oraz potencjalnego lateral movement w infrastrukturze.

Mitygacja

Należy zaktualizować moduł Opigno do wersji 3.1.2 lub nowszej. Szczegółowe informacje dostępne są w oficjalnym biuletynie bezpieczeństwa Drupal pod adresem https://www.drupal.org/sa-contrib-2024-028

Kogo dotyczy

Drupal Opigno Module we wszystkich wersjach od 0.0.0 do wersji wcześniejszych niż 3.1.2

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Opigno Module

    APP
    Opigno
    < 3.1.2
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-13265HIGH7.5ten sam vendor

Improper Neutralization of Directives in Statically Saved Code ('Static Code Injection') vulnerability in Drup...

CVE-2024-13267HIGH7.5ten sam vendor

Improper Neutralization of Directives in Statically Saved Code ('Static Code Injection') vulnerability in Drup...

CVE-2024-13263MEDIUM5.5ten sam vendor

Improper Neutralization of Directives in Statically Saved Code ('Static Code Injection') vulnerability in Drup...

CVE-2024-13268MEDIUM6.8ten sam vendor

Improper Neutralization of Directives in Statically Saved Code ('Static Code Injection') vulnerability in Drup...