SourceCodester Company Website CMS w wersji 1.0 zawiera krytyczną podatność umożliwiającą nieautoryzowane przesyłanie plików przez funkcję 'Create Services'. Brak odpowiedniej walidacji przesyłanych plików pozwala atakującemu na zdalne wykonanie kodu na serwerze.
▸ Pokaż oryginał (EN)
SourceCodester Company Website CMS 1.0 contains a file upload vulnerability via the "Create Services" file /dashboard/Services.
Podatność sklasyfikowana jako CWE-73 (External Control of File Name or Path) występuje w module obsługi usług dostępnym pod ścieżką /dashboard/Services. Atakujący może przesłać złośliwy plik (np. webshell PHP) bez wymagania uwierzytelnienia, logowania ani interakcji ze strony użytkownika. Wektor ataku jest sieciowy, złożoność niska, co czyni exploitację trivialną.
Udana eksploatacja umożliwia atakującemu zdalne wykonanie dowolnego kodu na serwerze (RCE), co może prowadzić do pełnego przejęcia kontroli nad systemem, kradzieży danych, modyfikacji treści serwisu lub jego zniszczenia.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu wdrożenia poprawki zaleca się wyłączenie lub ograniczenie dostępu do modułu /dashboard/Services oraz wdrożenie walidacji po stronie serwera dla przesyłanych plików (whitelist dozwolonych typów i rozszerzeń).
SourceCodester Company Website CMS w wersji 1.0
Podatność została udokumentowana przez badacza fupanc-w1n w repozytorium GitHub. Opis techniczny wraz z dowodem eksploitacji (proof-of-concept) jest publicznie dostępny pod adresami wskazanymi w referencjach.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HTorrahclef Company Website Cms
APPTorrahclef1.0
Powiązane podatności
Podatność File Upload w SourceCodester Company Website CMS 1.0
A vulnerability was found in SourceCodester Company Website CMS 1.0. This affects an unknown part of the file ...
A vulnerability was determined in SourceCodester Company Website CMS 1.0. This vulnerability affects unknown c...
SourceCodester Company Website CMS 1.0 is vulnerable to Cross Site Scripting (XSS) via /dashboard/Services.