CRITICAL🇬🇧 English

CVE-2024-8517

SPIP — zdalny command injection przez multipart upload bez uwierzytelnienia

CVSS 9.8v3.1pub. 2024-09-06upd. 2025-09-25

SPIP w wersjach przed 4.3.2, 4.2.16 i 4.1.18 zawiera krytyczną podatność typu command injection, pozwalającą nieuprawnionemu atakującemu na zdalne wykonanie dowolnych poleceń systemu operacyjnego. Brak wymogu uwierzytelnienia w połączeniu z oceną CVSS 9.8 czyni tę podatność wyjątkowo niebezpieczną.

Pokaż oryginał (EN)

SPIP before 4.3.2, 4.2.16, and 4.1.18 is vulnerable to a command injection issue. A remote and unauthenticated attacker can execute arbitrary operating system commands by sending a crafted multipart file upload HTTP request.

🤖 Analiza AI
Jak działa

Atakujący wysyła specjalnie spreparowane żądanie HTTP typu multipart file upload do podatnego serwera SPIP bez konieczności posiadania konta lub sesji. W wyniku nieprawidłowej kontroli danych wejściowych (CWE-73, CWE-78) serwer przetwarza złośliwy payload w taki sposób, że przekazuje go do interpretera poleceń systemu operacyjnego. Prowadzi to do wykonania dowolnych poleceń w kontekście uprawnień procesu serwera WWW.

Skutki

Atakujący uzyskuje możliwość pełnego zdalnego wykonania kodu (RCE) na serwerze bez jakiegokolwiek uwierzytelnienia, co może skutkować przejęciem kontroli nad systemem, wyciekiem danych, instalacją backdoora lub dalszym lateral movement w sieci.

Mitygacja

Należy niezwłocznie zaktualizować SPIP do wersji 4.3.2, 4.2.16 lub 4.1.18 — w zależności od używanej gałęzi. Szczegóły patcha dostępne są w oficjalnym komunikacie bezpieczeństwa producenta pod adresem: https://blog.spip.net/Mise-a-jour-critique-de-securite-sortie-de-SPIP-4-3-2-SPIP-4-2-16-SPIP-4-1-18.html

Kogo dotyczy

SPIP we wszystkich wersjach przed 4.1.18 (gałąź 4.1.x), przed 4.2.16 (gałąź 4.2.x) oraz przed 4.3.2 (gałąź 4.3.x)

Uwagi

Podatność posiada publicznie dostępne opracowania techniczne (proof-of-concept) opisujące mechanizm ataku, opublikowane przez zewnętrznych badaczy bezpieczeństwa (thinkloveshare.com, vozec.fr). Zwiększa to realne ryzyko wykorzystania nawet bez formalnego wpisu w CISA KEV.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Spip

    APP
    Spip
    4.3.04.3.14.0.0 – 4.1.18 (bez)4.2.0 – 4.2.15
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth BypassCommand Injection
CWE
Referencje

Powiązane podatności

CVE-2026-27475CRITICAL9.2PL ✓ten sam produkt

SPIP — Insecure Deserialization umożliwiająca RCE w obszarze publicznym

CVE-2023-27372CRITICAL9.8ten sam produkt

SPIP before 4.2.1 allows Remote Code Execution via form values in the public area because serialization is mis...

CVE-2023-24258CRITICAL9.8ten sam produkt

SPIP v4.1.5 and earlier was discovered to contain a SQL injection vulnerability via the _oups parameter. This ...

CVE-2020-28984CRITICAL9.8ten sam produkt

prive/formulaires/configurer_preferences.php in SPIP before 3.2.8 does not properly validate the couleur, disp...

CVE-2017-9736CRITICAL9.8ten sam produkt

SPIP 3.1.x before 3.1.6 and 3.2.x before Beta 3 does not remove shell metacharacters from the host field, allo...

CVE-2024-8517 — SPIP — zdalny command injection przez multipart upload bez uwierzytelnienia — CRITICAL 9.8 | CVEbaza.pl