SPIP w wersjach przed 4.3.2, 4.2.16 i 4.1.18 zawiera krytyczną podatność typu command injection, pozwalającą nieuprawnionemu atakującemu na zdalne wykonanie dowolnych poleceń systemu operacyjnego. Brak wymogu uwierzytelnienia w połączeniu z oceną CVSS 9.8 czyni tę podatność wyjątkowo niebezpieczną.
▸ Pokaż oryginał (EN)
SPIP before 4.3.2, 4.2.16, and 4.1.18 is vulnerable to a command injection issue. A remote and unauthenticated attacker can execute arbitrary operating system commands by sending a crafted multipart file upload HTTP request.
Atakujący wysyła specjalnie spreparowane żądanie HTTP typu multipart file upload do podatnego serwera SPIP bez konieczności posiadania konta lub sesji. W wyniku nieprawidłowej kontroli danych wejściowych (CWE-73, CWE-78) serwer przetwarza złośliwy payload w taki sposób, że przekazuje go do interpretera poleceń systemu operacyjnego. Prowadzi to do wykonania dowolnych poleceń w kontekście uprawnień procesu serwera WWW.
Atakujący uzyskuje możliwość pełnego zdalnego wykonania kodu (RCE) na serwerze bez jakiegokolwiek uwierzytelnienia, co może skutkować przejęciem kontroli nad systemem, wyciekiem danych, instalacją backdoora lub dalszym lateral movement w sieci.
Należy niezwłocznie zaktualizować SPIP do wersji 4.3.2, 4.2.16 lub 4.1.18 — w zależności od używanej gałęzi. Szczegóły patcha dostępne są w oficjalnym komunikacie bezpieczeństwa producenta pod adresem: https://blog.spip.net/Mise-a-jour-critique-de-securite-sortie-de-SPIP-4-3-2-SPIP-4-2-16-SPIP-4-1-18.html
SPIP we wszystkich wersjach przed 4.1.18 (gałąź 4.1.x), przed 4.2.16 (gałąź 4.2.x) oraz przed 4.3.2 (gałąź 4.3.x)
Podatność posiada publicznie dostępne opracowania techniczne (proof-of-concept) opisujące mechanizm ataku, opublikowane przez zewnętrznych badaczy bezpieczeństwa (thinkloveshare.com, vozec.fr). Zwiększa to realne ryzyko wykorzystania nawet bez formalnego wpisu w CISA KEV.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HSpip
APPSpip4.3.04.3.14.0.0 – 4.1.18 (bez)4.2.0 – 4.2.15
Powiązane podatności
SPIP — Insecure Deserialization umożliwiająca RCE w obszarze publicznym
SPIP before 4.2.1 allows Remote Code Execution via form values in the public area because serialization is mis...
SPIP v4.1.5 and earlier was discovered to contain a SQL injection vulnerability via the _oups parameter. This ...
prive/formulaires/configurer_preferences.php in SPIP before 3.2.8 does not properly validate the couleur, disp...
SPIP 3.1.x before 3.1.6 and 3.2.x before Beta 3 does not remove shell metacharacters from the host field, allo...