В XWEB Pro версии 1.12.1 существует уязвимость, связанная с внедрением команд ОС.
и ранее, позволяя неаутентифицированному злоумышленнику получить удаленный код
выполнение в системе путем отправки созданного запроса в библиотеки
маршрут установки и внедрение вредоносных данных в тело запроса.
Показать оригинальное описание (EN)
An OS command injection vulnerability exists in XWEB Pro version 1.12.1 and prior, enabling an unauthenticated attacker to achieve remote code execution on the system by sending a crafted request to the libraries installation route and injecting malicious input into the request body.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Высокая
Сложно эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v3.1