Уязвимость обхода пути запроса обновления Unraid, связанная с удаленным выполнением кода. Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код на затронутых установках Unraid. Для использования этой уязвимости необходима аутентификация.
Конкретная ошибка существует в файле update.php. Проблема возникает из-за отсутствия надлежащей проверки пути, предоставленного пользователем, перед его использованием в операциях с файлами. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте root.
Был ZDI-CAN-28951.
Показать оригинальное описание (EN)
Unraid Update Request Path Traversal Remote Code Execution Vulnerability. This vulnerability allows remote attackers to execute arbitrary code on affected installations of Unraid. Authentication is required to exploit this vulnerability. The specific flaw exists within the update.php file. The issue results from the lack of proper validation of a user-supplied path prior to using it in file operations. An attacker can leverage this vulnerability to execute code in the context of root. Was ZDI-CAN-28951.
Характеристики атаки
Последствия
Строка CVSS v3.0