Hyland Alfresco Transform Service zawiera podatność typu argument injection w funkcjonalności przetwarzania dokumentów, która umożliwia nieuwierzytelnionym atakującym zdalne wykonanie kodu (RCE). Podatność jest krytyczna ze względu na brak wymogu uwierzytelnienia i pełną kompromitację poufności, integralności oraz dostępności systemu.
▸ Pokaż oryginał (EN)
Hyland Alfresco Transformation Service allows unauthenticated attackers to achieve remote code execution through the argument injection vulnerability, which exists in the document processing functionality.
Podatność (CWE-918 / argument injection) występuje w module odpowiedzialnym za przetwarzanie dokumentów. Atakujący może przesłać spreparowane żądanie do usługi bez konieczności posiadania jakichkolwiek poświadczeń, wstrzykując złośliwe argumenty do wywołań procesów lub poleceń systemowych realizowanych podczas transformacji dokumentów. W efekcie możliwe jest wykonanie dowolnego kodu w kontekście procesu usługi.
Nieuwierzytelniony atakujący może przejąć pełną kontrolę nad systemem, na którym uruchomiona jest usługa — uzyskując możliwość odczytu i modyfikacji danych oraz zakłócenia działania systemu. Kompromitacja dotyczy wyłącznie bezpośrednio podatnego komponentu (SC:N w wektorze CVSS).
Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegółowe informacje o wersjach zawierających poprawki opublikowano w oficjalnym biuletynie bezpieczeństwa Hyland pod adresem wskazanym w referencjach (connect.hyland.com).
Hyland Alfresco Transform Service oraz Hyland Alfresco Transform Core — wersje wskazane w referencjach producenta
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XHyland Alfresco Transform Core
APPHyland< 5.2.4Hyland Alfresco Transform Service
APPHyland< 4.2.3
Powiązane podatności
Hyland Alfresco Transformation Service allows unauthenticated attackers to achieve both arbitrary file read an...
Hyland Alfresco Transformation Service allows unauthenticated attackers to achieve server-side request forgery...
An issue was discovered in Hyland OnBase 16.0.2.83 and below, 17.0.2.109 and below, 18.0.0.37 and below, 19.8....
An issue was discovered in Hyland OnBase 16.0.2.83 and below, 17.0.2.109 and below, 18.0.0.37 and below, 19.8....
An issue was discovered in Hyland OnBase 16.0.2.83 and below, 17.0.2.109 and below, 18.0.0.37 and below, 19.8....