Podatność typu path traversal i command injection w interfejsie webowym Allsky WebUI v2024.12.06_06 umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnych poleceń systemowych. Ze względu na brak wymagania jakiegokolwiek uwierzytelnienia oraz maksymalną ocenę CVSS 10.0, zagrożenie jest krytyczne.
▸ Pokaż oryginał (EN)
A Path Traversal vulnerability in the Allsky WebUI version v2024.12.06_06 allows an unauthenticated remote attacker to achieve arbitrary command execution. By sending a crafted HTTP request to the /html/execute.php endpoint with a malicious payload in the id parameter, an attacker can execute arbitrary commands on the underlying operating system, leading to full remote code execution (RCE).
Atakujący wysyła spreparowane żądanie HTTP do endpointu /html/execute.php, umieszczając złośliwy payload w parametrze id. Aplikacja nie waliduje poprawnie przekazanej wartości, co skutkuje zarówno możliwością path traversal, jak i bezpośrednim wykonaniem wstrzykniętych poleceń na poziomie systemu operacyjnego. Podatność nie wymaga żadnego uwierzytelnienia ani interakcji ze strony użytkownika.
Atakujący może uzyskać pełną kontrolę nad systemem operacyjnym urządzenia uruchamiającego Allsky WebUI, co obejmuje wykonywanie dowolnych poleceń, odczyt i modyfikację plików oraz potencjalne przejęcie całego hosta.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu wdrożenia poprawki zaleca się ograniczenie dostępu sieciowego do interfejsu WebUI wyłącznie do zaufanych hostów, np. poprzez firewall lub mechanizmy kontroli dostępu na poziomie sieci.
Allsky WebUI w wersji v2024.12.06_06 (produkt Allskyteam Allsky)
Podatność została opisana w blogu badacza pod adresem gh0stmezh.wordpress.com. Podatny plik execute.php jest publicznie dostępny w repozytorium GitHub projektu Allsky.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HAllskyteam Allsky
APPAllskyteam2024.12.06_06
Powiązane podatności
Cross Site Request Forgery (CSRF) vulnerability in AllskyTeam AllSky v2024.12.06_06 allows remote attackers to...
Cross Site Scripting (XSS) vulnerability in AllskyTeam AllSky v2024.12.06_06 allows remote attackers to execut...