W aplikacji ClipBucket V5 istnieje krytyczna podatność typu unrestricted file upload (CWE-434), umożliwiająca przesłanie złośliwego skryptu PHP zamiast obrazu okładki playlisty. Podatność ta pozwala atakującemu na zdalne wykonanie kodu na serwerze bez żadnych uprawnień.
▸ Pokaż oryginał (EN)
ClipBucket V5 provides open source video hosting with PHP. Prior to 5.5.1 - 239, a file upload vulnerability exists in the Manage Playlist functionality of the application, specifically surrounding the uploading of playlist cover images. Without proper checks, an attacker can upload a PHP script file instead of an image file, thus allowing a webshell or other malicious files to be stored and executed on the server. This attack vector exists in both the admin area and low-level user area. This vulnerability is fixed in 5.5.1 - 239.
Funkcjonalność zarządzania playlistami w ClipBucket V5 umożliwia przesyłanie obrazów okładek, jednak aplikacja nie weryfikuje poprawnie typu przesyłanego pliku. Atakujący może zamiast pliku graficznego przesłać plik z rozszerzeniem lub zawartością skryptu PHP. Po zapisaniu pliku na serwerze możliwe jest jego bezpośrednie wywołanie przez przeglądarkę, co skutkuje wykonaniem kodu po stronie serwera (webshell). Wektor ataku jest dostępny zarówno z poziomu panelu administracyjnego, jak i konta zwykłego użytkownika.
Atakujący może uzyskać pełną kontrolę nad serwerem poprzez umieszczenie i uruchomienie webshella lub innego złośliwego kodu, co zagraża poufności, integralności oraz dostępności całego systemu.
Należy zaktualizować ClipBucket V5 do wersji 5.5.1 - 239 lub nowszej, w której podatność została naprawiona. Patch dostępny jest w repozytorium producenta na GitHub (commit 893bfb0f1236c4a59b5e2843ab8d27a1e491b12b).
ClipBucket V5 w wersjach wcześniejszych niż 5.5.1 - 239
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HOxygenz Clipbucket
APPOxygenz5.3 – 5.5.1-239 (bez)
Powiązane podatności
TOCTOU Race Condition w ClipBucket umożliwia wykonanie kodu PHP
Blind SQL Injection w ClipBucket v5 — sekcja komentarzy kanału
ClipBucket 5.5.2 — hardcoded domyślne dane logowania w panelu admina
PHP Deserialization w ClipBucket V5 — zdalne wykonanie kodu
PHP Deserialization w ClipBucket V5 umożliwia zdalne wykonanie kodu