CRITICAL🇬🇧 English

CVE-2025-66022

OWASP Faction: RCE przez brak uwierzytelnienia w endpoint zarządzania rozszerzeniami

CVSS 9.6v3.1pub. 2025-11-26upd. 2026-01-02

W OWASP Faction (narzędzie do generowania raportów pentestowych) przed wersją 1.7.1 istnieje krytyczna podatność umożliwiająca nieuwierzytelnionemu atakującemu zdalne wykonanie kodu (RCE) na serwerze. Połączenie braku kontroli dostępu do endpointu zarządzania rozszerzeniami z niebezpiecznym mechanizmem wykonywania kodu rozszerzeń czyni tę lukę szczególnie groźną.

Pokaż oryginał (EN)

FACTION is a PenTesting Report Generation and Collaboration Framework. Prior to version 1.7.1, an extension execution path in Faction’s extension framework permits untrusted extension code to execute arbitrary system commands on the server when a lifecycle hook is invoked, resulting in remote code execution (RCE) on the host running Faction. Due to a missing authentication check on the /portal/AppStoreDashboard endpoint, an attacker can access the extension management UI and upload a malicious extension without any authentication, making this vulnerability exploitable by unauthenticated users. This issue has been patched in version 1.7.1.

🤖 Analiza AI
Jak działa

Endpoint /portal/AppStoreDashboard, służący do zarządzania rozszerzeniami aplikacji, nie wymaga żadnego uwierzytelnienia, co pozwala atakującemu na dostęp do interfejsu zarządzania rozszerzeniami bez podania jakichkolwiek danych logowania. Atakujący może przesłać złośliwe rozszerzenie, którego kod nie jest weryfikowany pod kątem bezpieczeństwa. Gdy framework Faction wywoła lifecycle hook takiego rozszerzenia, zawarty w nim złośliwy kod zostaje wykonany bezpośrednio jako polecenia systemowe na serwerze hostującym aplikację, prowadząc do pełnego RCE.

Skutki

Atakujący bez żadnych uprawnień może uzyskać pełną kontrolę nad serwerem — wykonać dowolne polecenia systemowe, uzyskać dostęp do poufnych danych (w tym raportów pentestowych i danych klientów), a także trwale naruszyć integralność i dostępność systemu.

Mitygacja

Należy niezwłocznie zaktualizować OWASP Faction do wersji 1.7.1, w której problem został naprawiony. Szczegóły patcha dostępne są w referencjach producenta oraz w commicie c6389f1c76175b7c1c68d1a87b389311b16c62c3 w repozytorium GitHub.

Kogo dotyczy

OWASP Faction we wszystkich wersjach przed 1.7.1

Uwagi

Podatność obejmuje trzy klasy błędów jednocześnie: brak uwierzytelnienia (CWE-862), niebezpieczne ładowanie zewnętrznych zasobów (CWE-829) oraz wadliwą autoryzację (CWE-287). Szczegóły opublikowano w GitHub Security Advisory GHSA-xr72-2g43-586w.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
  • Owasp Faction

    APP
    Owasp
    < 1.7.1
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEAuth Bypass
CWE
Referencje

Powiązane podatności

CVE-2026-21876CRITICAL9.3PL ✓ten sam vendor

OWASP CRS: pominięcie wykrywania złośliwego charset w żądaniach multipart

CVE-2023-38199CRITICAL9.8ten sam vendor

coreruleset (aka OWASP ModSecurity Core Rule Set) through 3.3.4 does not detect multiple Content-Type request ...

CVE-2020-22669CRITICAL9.8ten sam vendor

Modsecurity owasp-modsecurity-crs 3.2.0 (Paranoia level at PL1) has a SQL injection bypass vulnerability. Atta...

CVE-2021-35368CRITICAL9.8ten sam vendor

OWASP ModSecurity Core Rule Set 3.1.x before 3.1.2, 3.2.x before 3.2.1, and 3.3.x before 3.3.2 is affected by ...

CVE-2021-42575CRITICAL9.8ten sam vendor

The OWASP Java HTML Sanitizer before 20211018.1 does not properly enforce policies associated with the SELECT,...