Podatność w systemie JEHC-BPM 2.0.1 umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnego kodu (RCE) poprzez endpoint /server/executeExec. Otrzymała maksymalny wynik CVSS 10.0, co czyni ją jednym z najpoważniejszych zagrożeń dla systemów BPM opartych na tym oprogramowaniu.
▸ Pokaż oryginał (EN)
/server/executeExec of JEHC-BPM 2.0.1 allows attackers to execute arbitrary code via execParams.
Endpoint /server/executeExec aplikacji JEHC-BPM 2.0.1 przyjmuje parametry wykonania (execParams) bez wymaganej autoryzacji i bez odpowiedniej walidacji danych wejściowych (CWE-862: brak kontroli uprawnień). Atakujący może przesłać spreparowane żądanie sieciowe zawierające złośliwe parametry execParams, które są następnie wykonywane po stronie serwera. Podatność jest dostępna zdalnie, bez uwierzytelnienia i bez interakcji użytkownika.
Atakujący może przejąć pełną kontrolę nad serwerem, wykonując dowolny kod z uprawnieniami procesu aplikacji, co może prowadzić do kradzieży danych, instalacji backdoorów lub całkowitego kompromitacji systemu. Ze względu na zakres wpływu obejmujący poufność, integralność i dostępność, skutki mogą dotknąć również systemy powiązane (Scope: Changed).
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu wdrożenia poprawki zaleca się ograniczenie dostępu sieciowego do endpointu /server/executeExec za pomocą firewall lub reguł na poziomie serwera aplikacji oraz blokadę dostępu z sieci publicznych.
JEHC-BPM w wersji 2.0.1
Publiczny proof-of-concept (PoC) exploit został opublikowany w serwisie GitHub Gist przez użytkownika Cafe-Tea i jest dostępny pod adresem wskazanym w referencjach. Podnosi to realne ryzyko masowej eksploatacji.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HJehc Bpm
APPJehc≤ 2.0.1