xiaoheiFS — это автономная финансовая и операционная система для предприятий, предоставляющих облачные услуги. В версиях до 0.3.15 включительно конечная точка AdminPaymentPluginUpload позволяет администраторам загружать любой файл в плагины/платеж/. Он проверяет только жестко запрограммированный пароль (qweasd123456) и игнорирует содержимое файла.
Фоновый наблюдатель («StartWatcher») затем сканирует эту папку каждые 5 секунд. Если он находит новый исполняемый файл, он немедленно запускает его, что приводит к RCE. Версия 4.0.0 устраняет проблему.
Показать оригинальное описание (EN)
xiaoheiFS is a self-hosted financial and operational system for cloud service businesses. In versions up to and including 0.3.15, the `AdminPaymentPluginUpload` endpoint lets admins upload any file to `plugins/payment/`. It only checks a hardcoded password (`qweasd123456`) and ignores file content. A background watcher (`StartWatcher`) then scans this folder every 5 seconds. If it finds a new executable, it runs it immediately, resulting in RCE. Version 4.0.0 fixes the issue.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Danvei233 Xiaoheifs
cpe:2.3:a:danvei233:xiaoheifs:*:*:*:*:*:*:*:*
|
— |
0.4.0
|