Проблема в Aranda Service Desk Web Edition (ASDK API 8.6) позволяет злоумышленникам, прошедшим проверку подлинности, добиться удаленного выполнения кода из-за неправильной проверки загруженных файлов. Пользователь, прошедший проверку подлинности, может загрузить созданный файл web.config, отправив созданный запрос POST в /ASDKAPI/api/v8.6/item/addfile, который обрабатывается средой выполнения ASP.NET. Загруженный файл конфигурации изменяет контекст выполнения каталога загрузки, позволяя компилировать и выполнять код, контролируемый злоумышленником (например, создание веб-оболочки .aspx).
Это позволяет удаленно выполнять команды на сервере без взаимодействия с пользователем, помимо аутентификации, что влияет как на локальное развертывание, так и на развертывание SaaS.
Показать оригинальное описание (EN)
An issue in Aranda Service Desk Web Edition (ASDK API 8.6) allows authenticated attackers to achieve remote code execution due to improper validation of uploaded files. An authenticated user can upload a crafted web.config file by sending a crafted POST request to /ASDKAPI/api/v8.6/item/addfile, which is processed by the ASP.NET runtime. The uploaded configuration file alters the execution context of the upload directory, enabling compilation and execution of attacker-controlled code (e.g., generation of an .aspx webshell). This allows remote command execution on the server without user interaction beyond authentication, impacting both On-Premise and SaaS deployments. The vendor has fixed the issue in Aranda Service Desk V8 8.30.6.
Характеристики атаки
Последствия
Строка CVSS v3.1