CRITICAL🇬🇧 English

CVE-2024-35374

Command Injection / RCE w Mocodo Online przez pole sql_case

CVSS 9.8v3.1pub. 2024-05-24upd. 2025-06-10

Mocodo Online w wersji 4.2.6 i wcześniejszych zawiera podatność typu command injection w polu sql_case endpointu /web/generate.php. Brak odpowiedniej sanityzacji danych wejściowych umożliwia zdalnym atakującym wykonanie dowolnych poleceń systemowych bez uwierzytelnienia.

Pokaż oryginał (EN)

Mocodo Mocodo Online 4.2.6 and below does not properly sanitize the sql_case input field in /web/generate.php, allowing remote attackers to execute arbitrary commands and potentially command injection, leading to remote code execution (RCE) under certain conditions.

🤖 Analiza AI
Jak działa

Aplikacja nie filtruje poprawnie danych przekazywanych przez użytkownika w polu sql_case podczas przetwarzania żądań do pliku /web/generate.php. Atakujący może wstrzyknąć złośliwe polecenia systemowe (command injection, CWE-77) bezpośrednio do tego pola. Przy spełnieniu określonych warunków środowiskowych wstrzyknięte polecenia są wykonywane przez serwer z uprawnieniami procesu aplikacji, co prowadzi do pełnego remote code execution (RCE).

Skutki

Atakujący bez żadnego uwierzytelnienia może przejąć kontrolę nad serwerem, wykonując dowolny kod — potencjalnie uzyskując dostęp do danych, instalując backdoor lub eskalując uprawnienia w systemie.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się aktualizację do wersji wyższej niż 4.2.6 oraz ograniczenie publicznego dostępu do endpointu /web/generate.php do czasu wdrożenia poprawki.

Kogo dotyczy

Mocodo Mocodo Online w wersji 4.2.6 oraz wszystkich wcześniejszych wersjach

Uwagi

Szczegółowy opis techniczny podatności został opublikowany przez badacza na stronie chocapikk.com. Podatny fragment kodu znajduje się w pliku web/generate.php w liniach 104–158 repozytorium GitHub projektu Mocodo.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Mocodo Online

    APP
    Mocodo
    ≤ 4.2.6
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2024-35373CRITICAL9.8PL ✓ten sam produkt

RCE w Mocodo Online — podatny endpoint rewrite.php