W systemie zarządzania treścią SeaCMS w wersji 13.3 odkryto krytyczną podatność umożliwiającą zdalne wykonanie kodu (RCE) przez komponent phomebak.php. Atakujący niewymagający uwierzytelnienia może wykonać dowolny kod na serwerze, co stanowi poważne zagrożenie dla integralności i dostępności systemu.
▸ Pokaż oryginał (EN)
SeaCMS v13.3 was discovered to contain a remote code execution (RCE) vulnerability via the component phomebak.php. This vulnerability allows attackers to execute arbitrary code via a crafted request.
Podatność wynika z niebezpiecznego przetwarzania danych wejściowych w komponencie phomebak.php, sklasyfikowanego jako CWE-94 (improper control of code generation). Atakujący może wysłać specjalnie spreparowane żądanie HTTP do podatnego endpointu, które prowadzi do wykonania arbitralnego kodu po stronie serwera. Wektor ataku jest sieciowy, nie wymaga żadnych uprawnień ani interakcji ze strony użytkownika, co czyni podatność szczególnie niebezpieczną.
Skuteczne wykorzystanie podatności pozwala atakującemu na pełne przejęcie kontroli nad serwerem — odczyt, modyfikację i usunięcie danych, instalację złośliwego oprogramowania oraz potencjalny lateral movement w obrębie sieci wewnętrznej.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu aktualizacji zaleca się ograniczenie dostępu do podatnego komponentu phomebak.php na poziomie firewalla lub serwera WWW oraz monitorowanie podejrzanych żądań HTTP kierowanych do tego endpointu.
SeaCMS w wersji 13.3
Szczegółowy opis techniczny podatności wraz z dowodem koncepcji (PoC) dostępny jest publicznie w referencjach na platformie GitHub (https://github.com/202110420106/CVE/blob/master/seacms/seacms_rce.md), co zwiększa ryzyko aktywnego wykorzystania.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HSeacms
APPSeacms13.3
Powiązane podatności
SQL injection w SeaCMS v13.3 — komponent admin_comment_news.php
SQL injection w SeaCMS v13.3 — komponent admin_topic.php
SQL injection w SeaCMS v13.3 — komponent admin_manager.php
SQL injection w SeaCMS v13.3 — komponent admin_tempvideo.php
SQL Injection w SeaCMS — podatny plik admin_pay.php