IPW Systems Metazo w wersji do 8.1.3 włącznie zawiera krytyczną podatność typu Server-Side Template Injection (SSTI), umożliwiającą nieuwierzytelnionemu atakującemu zdalne wykonanie kodu. Podatność otrzymała maksymalny wynik CVSS 10.0, co czyni ją ekstremalnie niebezpieczną.
▸ Pokaż oryginał (EN)
IPW Systems Metazo through 8.1.3 allows unauthenticated Remote Code Execution because smartyValidator.php enables the attacker to provide template expressions, aka Server-Side Template-Injection. All instances have been patched by the Supplier.
Plik smartyValidator.php akceptuje dane wejściowe od użytkownika bez odpowiedniej walidacji i przekazuje je bezpośrednio do silnika szablonów Smarty. Atakujący może dostarczyć specjalnie spreparowane wyrażenia szablonowe (template expressions), które zostaną przetworzone po stronie serwera. Mechanizm ten klasyfikowany jest jako Server-Side Template Injection (SSTI) — atakujący nie musi posiadać żadnych poświadczeń, a atak jest możliwy zdalnie przez sieć.
Atakujący uzyskuje możliwość zdalnego wykonania dowolnego kodu (RCE) na serwerze bez uwierzytelnienia, co może prowadzić do pełnego przejęcia kontroli nad systemem, kradzieży danych oraz naruszenia integralności środowiska.
Producent (IPW Systems) zastosował patche we wszystkich instancjach produktu. Należy skontaktować się z dostawcą i potwierdzić, że posiadane środowisko zostało zaktualizowane; w razie wątpliwości należy zastosować patche dostępne u producenta zgodnie z referencjami.
IPW Systems Metazo we wszystkich wersjach do 8.1.3 włącznie.
Według opisu EN producent (IPW Systems) załatał wszystkie instancje produktu po stronie dostawcy. Podatność została ujawniona publicznie przez firmę Code White (referencja: code-white.com/public-vulnerability-list/).
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:NIpwsystems Metazo
APPIpwsystems≤ 8.1.13