Wing FTP Server 6.3.8 содержит уязвимость удаленного выполнения кода в своей веб-консоли на базе Lua, которая позволяет прошедшим проверку подлинности пользователям выполнять системные команды. Злоумышленники могут использовать консоль для отправки POST-запросов с вредоносными командами, которые запускают выполнение операционной системы через функцию os.execute().
Показать оригинальное описание (EN)
Wing FTP Server 6.3.8 contains a remote code execution vulnerability in its Lua-based web console that allows authenticated users to execute system commands. Attackers can leverage the console to send POST requests with malicious commands that trigger operating system execution through the os.execute() function.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Высокие
Нужны права администратора
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v4.0