WebsiteBaker 2.13.0 содержит уязвимость удаленного выполнения кода с проверкой подлинности, которая позволяет пользователям с разрешениями на редактирование языка выполнять произвольный код. Злоумышленники могут использовать конечную точку установки языка, манипулируя параметрами установки языка, чтобы добиться удаленного выполнения кода на сервере.
Показать оригинальное описание (английский)
WebsiteBaker 2.13.0 contains an authenticated remote code execution vulnerability that allows users with language editing permissions to execute arbitrary code. Attackers can exploit the language installation endpoint by manipulating language installation parameters to achieve remote code execution on the server.
Матрица атаки
Вектор атаки
По сети
Атака по сети
Сложность атаки
Низкая
Легко эксплуатировать
Требуемые привилегии
Низкие
Нужны базовые права
Взаимодействие с пользователем
Не требуется
Не нужно действие пользователя
Влияние на конфиденциальность
Высокое
Полная утечка данных
Влияние на целостность
Высокое
Полная модификация
Влияние на доступность
Высокое
Полный отказ в обслуживании
СТРОКА CVSS ВЕКТОРА
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H