W OWASP Faction (narzędzie do generowania raportów pentestowych) przed wersją 1.7.1 istnieje krytyczna podatność umożliwiająca nieuwierzytelnionemu atakującemu zdalne wykonanie kodu (RCE) na serwerze. Połączenie braku kontroli dostępu do endpointu zarządzania rozszerzeniami z niebezpiecznym mechanizmem wykonywania kodu rozszerzeń czyni tę lukę szczególnie groźną.
▸ Pokaż oryginał (EN)
FACTION is a PenTesting Report Generation and Collaboration Framework. Prior to version 1.7.1, an extension execution path in Faction’s extension framework permits untrusted extension code to execute arbitrary system commands on the server when a lifecycle hook is invoked, resulting in remote code execution (RCE) on the host running Faction. Due to a missing authentication check on the /portal/AppStoreDashboard endpoint, an attacker can access the extension management UI and upload a malicious extension without any authentication, making this vulnerability exploitable by unauthenticated users. This issue has been patched in version 1.7.1.
Endpoint /portal/AppStoreDashboard, służący do zarządzania rozszerzeniami aplikacji, nie wymaga żadnego uwierzytelnienia, co pozwala atakującemu na dostęp do interfejsu zarządzania rozszerzeniami bez podania jakichkolwiek danych logowania. Atakujący może przesłać złośliwe rozszerzenie, którego kod nie jest weryfikowany pod kątem bezpieczeństwa. Gdy framework Faction wywoła lifecycle hook takiego rozszerzenia, zawarty w nim złośliwy kod zostaje wykonany bezpośrednio jako polecenia systemowe na serwerze hostującym aplikację, prowadząc do pełnego RCE.
Atakujący bez żadnych uprawnień może uzyskać pełną kontrolę nad serwerem — wykonać dowolne polecenia systemowe, uzyskać dostęp do poufnych danych (w tym raportów pentestowych i danych klientów), a także trwale naruszyć integralność i dostępność systemu.
Należy niezwłocznie zaktualizować OWASP Faction do wersji 1.7.1, w której problem został naprawiony. Szczegóły patcha dostępne są w referencjach producenta oraz w commicie c6389f1c76175b7c1c68d1a87b389311b16c62c3 w repozytorium GitHub.
OWASP Faction we wszystkich wersjach przed 1.7.1
Podatność obejmuje trzy klasy błędów jednocześnie: brak uwierzytelnienia (CWE-862), niebezpieczne ładowanie zewnętrznych zasobów (CWE-829) oraz wadliwą autoryzację (CWE-287). Szczegóły opublikowano w GitHub Security Advisory GHSA-xr72-2g43-586w.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:HOwasp Faction
APPOwasp< 1.7.1
Powiązane podatności
OWASP CRS: pominięcie wykrywania złośliwego charset w żądaniach multipart
coreruleset (aka OWASP ModSecurity Core Rule Set) through 3.3.4 does not detect multiple Content-Type request ...
Modsecurity owasp-modsecurity-crs 3.2.0 (Paranoia level at PL1) has a SQL injection bypass vulnerability. Atta...
OWASP ModSecurity Core Rule Set 3.1.x before 3.1.2, 3.2.x before 3.2.1, and 3.3.x before 3.3.2 is affected by ...
The OWASP Java HTML Sanitizer before 20211018.1 does not properly enforce policies associated with the SELECT,...