CRITICAL🇬🇧 English

CVE-2024-24621

Softaculous Webuzo — pominięcie uwierzytelnienia przez reset hasła

CVSS 9.8v3.1pub. 2024-07-25upd. 2024-11-21

Softaculous Webuzo zawiera krytyczną podatność typu authentication bypass w mechanizmie resetowania hasła. Nieuwierzytelniony, zdalny atakujący może wykorzystać tę lukę do uzyskania pełnego dostępu do serwera z uprawnieniami użytkownika root.

Pokaż oryginał (EN)

Softaculous Webuzo contains an authentication bypass vulnerability through the password reset functionality. Remote, anonymous attackers can exploit this vulnerability to gain full server access as the root user.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej weryfikacji warunków (CWE-697) podczas obsługi procesu resetowania hasła. Mechanizm ten nie sprawdza poprawnie tożsamości żądającego, co pozwala anonimowemu atakującemu na pominięcie standardowego uwierzytelnienia. W efekcie napastnik może zresetować hasło w sposób nieautoryzowany i przejąć kontrolę nad systemem.

Skutki

Atakujący uzyskuje pełny dostęp do serwera z uprawnieniami użytkownika root, co oznacza możliwość przejęcia całkowitej kontroli nad systemem, odczytu i modyfikacji danych oraz instalacji dowolnego oprogramowania.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Szczegóły techniczne podatności oraz zalecenia zostały opublikowane przez Exodus Intel w dniu 25 lipca 2024 r. pod adresem: https://blog.exodusintel.com/2024/07/25/softaculous-webuzo-authentication-bypass/

Kogo dotyczy

Softaculous Webuzo — wersje wskazane w referencjach producenta

Uwagi

Szczegółowy opis techniczny podatności opublikowało Exodus Intel w dniu 25 lipca 2024 r. (zbieżnym z datą publikacji CVE), co wskazuje na skoordynowane ujawnienie (coordinated disclosure).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Softaculous Webuzo

    APP
    Softaculous
    < 4.2.9
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2024-24622HIGH8.8ten sam produkt

Softaculous Webuzo contains a command injection in the password reset functionality. A remote, authenticated a...

CVE-2024-24623HIGH8.8ten sam produkt

Softaculous Webuzo contains a command injection vulnerability in the FTP management functionality. A remote, a...

CVE-2013-6041HIGH7.5ten sam produkt

index.php in Softaculous Webuzo before 2.1.4 allows remote attackers to execute arbitrary commands via shell m...

CVE-2013-6043MEDIUM5.0ten sam produkt

The login function in Softaculous Webuzo before 2.1.4 provides different error messages for invalid authentica...

CVE-2013-6042MEDIUM4.3ten sam produkt

Cross-site scripting (XSS) vulnerability in filemanager/login.php in the File Manager module in Softaculous We...

CVE-2024-24621 — Softaculous Webuzo — pominięcie uwierzytelnienia przez reset hasła — CRITICAL 9.8 | CVEbaza.pl