ZesleCP 3.1.9 содержит уязвимость удаленного выполнения кода с проверкой подлинности, которая позволяет злоумышленникам создавать вредоносные учетные записи FTP с полезными нагрузками для внедрения оболочки. Злоумышленники могут использовать конечную точку создания учетной записи FTP, внедрив команду обратной оболочки, которая устанавливает сетевое соединение с указанным прослушивающим хостом.
Показать оригинальное описание (английский)
ZesleCP 3.1.9 contains an authenticated remote code execution vulnerability that allows attackers to create malicious FTP accounts with shell injection payloads. Attackers can exploit the FTP account creation endpoint by injecting a reverse shell command that establishes a network connection to a specified listening host.
Матрица атаки
Вектор атаки
По сети
Атака по сети
Сложность атаки
Низкая
Легко эксплуатировать
Требуемые привилегии
Низкие
Нужны базовые права
Взаимодействие с пользователем
Не требуется
Не нужно действие пользователя
Влияние на конфиденциальность
Высокое
Полная утечка данных
Влияние на целостность
Высокое
Полная модификация
Влияние на доступность
Высокое
Полный отказ в обслуживании
СТРОКА CVSS ВЕКТОРА
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H