CRITICAL🇬🇧 English

CVE-2024-13984

Path traversal i nieautoryzowany upload plików w QiAnXin TianQing Management Center

CVSS 10.0v4.0pub. 2025-08-27upd. 2026-04-15

QiAnXin TianQing Management Center w wersjach do 6.7.0.4130 włącznie zawiera krytyczną podatność path traversal w komponencie rptsvr, umożliwiającą nieuwierzytelnionym atakującym umieszczenie plików w dowolnych lokalizacjach na serwerze. Brak uwierzytelnienia i możliwość zapisu plików wykonywalnych do katalogów dostępnych przez serwer WWW czynią tę podatność bezpośrednią ścieżką do RCE.

Pokaż oryginał (EN)

QiAnXin TianQing Management Center versions up to and including 6.7.0.4130 contain a path traversal vulnerability in the rptsvr component that allows unauthenticated attackers to upload files to arbitrary locations on the server. The /rptsvr/upload endpoint fails to sanitize the filename parameter in multipart form-data requests, enabling path traversal. This allows attackers to place executable files in web-accessible directories, potentially leading to remote code execution. Exploitation evidence was first observed by the Shadowserver Foundation on 2024-08-23 UTC.

🤖 Analiza AI
Jak działa

Endpoint /rptsvr/upload nie weryfikuje ani nie oczyszcza parametru filename w żądaniach multipart form-data. Atakujący może skonstruować żądanie HTTP zawierające sekwencje path traversal (np. '../') w nazwie pliku, co pozwala zapisać przesłany plik poza przeznaczonym katalogiem docelowym. Dzięki temu możliwe jest umieszczenie pliku wykonywalnego (np. webshell) w katalogu dostępnym publicznie przez serwer WWW. Po wykonaniu tej operacji atakujący może wywołać przesłany plik przez przeglądarkę lub żądanie HTTP i uzyskać zdalne wykonanie kodu na serwerze.

Skutki

Nieuwierzytelniony atakujący może przejąć pełną kontrolę nad serwerem poprzez umieszczenie i wykonanie złośliwego kodu (RCE). Możliwe jest naruszenie poufności, integralności i dostępności zarówno systemu docelowego, jak i zasobów z nim powiązanych.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Rekomenduje się również ograniczenie dostępu sieciowego do endpointu /rptsvr/upload na poziomie firewall oraz monitorowanie prób nieautoryzowanego uploadu plików.

Kogo dotyczy

QiAnXin TianQing Management Center w wersjach do 6.7.0.4130 włącznie (komponent rptsvr)

Uwagi

Zgodnie z opisem, pierwsze dowody eksploitacji odnotowała organizacja Shadowserver Foundation w dniu 2024-08-23 UTC. Mimo że CISA KEV nie klasyfikuje tej podatności jako aktywnie eksploitowanej, udokumentowane dowody rzeczywistego wykorzystania podatności powinny skłaniać do traktowania jej z najwyższym priorytetem.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEPath TraversalAuth Bypass
CWE
Referencje
CVE-2024-13984 — Path traversal i nieautoryzowany upload plików w QiAnXin TianQing Management Center — CRITICAL 10.0 | CVEbaza.pl