CRITICAL🇬🇧 English

CVE-2025-30091

RCE w Tiny MoxieManager PHP — wstrzyknięcie kodu przez installer command

CVSS 9.4v4.0pub. 2025-03-25upd. 2026-04-15

Podatność w Tiny MoxieManager PHP przed wersją 4.0.0 umożliwia nieuwierzytelnionym atakującym zdalne wykonanie dowolnego kodu (RCE) poprzez komendę instalatora. Zagrożenie jest krytyczne, ponieważ nie wymaga żadnej autoryzacji i jest dostępne nawet po zakończeniu procesu instalacji.

Pokaż oryginał (EN)

In Tiny MoxieManager PHP before 4.0.0, remote code execution can occur in the installer command. This vulnerability allows unauthenticated attackers to inject and execute arbitrary code. Attacker-controlled data to InstallCommand can be inserted into config.php, and InstallCommand is available after an installation has completed.

🤖 Analiza AI
Jak działa

Atakujący może przekazać kontrolowane przez siebie dane do mechanizmu InstallCommand, który zapisuje je bezpośrednio do pliku konfiguracyjnego config.php. Ponieważ wstrzyknięte dane trafiają do pliku PHP bez odpowiedniej walidacji lub sanityzacji (CWE-96 — indirect static code injection), osadzony w ten sposób kod jest następnie wykonywany przez serwer. Krytyczne jest to, że endpoint InstallCommand pozostaje dostępny również po pomyślnym zakończeniu instalacji, co rozszerza okno podatności na wszystkie działające instalacje.

Skutki

Nieuwierzytelniony atakujący może zdalnie wykonać dowolny kod na serwerze hostującym aplikację, co w praktyce oznacza pełne przejęcie kontroli nad systemem, możliwość kradzieży danych, instalacji backdoorów oraz dalszego lateral movement w sieci.

Mitygacja

Należy niezwłocznie zaktualizować Tiny MoxieManager PHP do wersji 4.0.0 lub nowszej. Szczegóły dotyczące patcha dostępne są w changelogu producenta oraz biuletynie bezpieczeństwa SEC-1063 na stronie moxiemanager.com. Do czasu aktualizacji zaleca się zablokowanie dostępu do endpointu InstallCommand na poziomie firewall lub konfiguracji serwera WWW.

Kogo dotyczy

Tiny MoxieManager PHP we wszystkich wersjach przed 4.0.0

Uwagi

Podatność sklasyfikowana jako CWE-96 (Improper Neutralization of Directives in Statically Saved Code — indirect static code injection). Pomimo braku wpisu w CISA KEV, krytyczny wynik CVSS 9.4 oraz brak wymogu uwierzytelnienia uzasadniają pilne działania naprawcze.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEAuth Bypass
CWE
Referencje