i-doit CMDB с открытым исходным кодом 1.14.1 содержит уязвимость удаления файлов в модуле импорта, которая позволяет злоумышленникам, прошедшим проверку подлинности, удалять произвольные файлы, манипулируя параметром delete_import. Злоумышленники могут отправить POST-запрос модулю импорта со специально созданным именем файла, чтобы удалить файлы из файловой системы сервера.
Показать оригинальное описание (EN)
i-doit Open Source CMDB 1.14.1 contains a file deletion vulnerability in the import module that allows authenticated attackers to delete arbitrary files by manipulating the delete_import parameter. Attackers can send a POST request to the import module with a crafted filename to remove files from the server's filesystem.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v4.0