Katalog CVE

CVE-2016-15044

KrytyczneCVSS 9.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Podwyższone ryzyko
1.41%

Percentyl 70 - wyżej niż 70% wszystkich znanych CVE

Streszczenie

Podatność zdalnego wykonania kodu w Kaltura przed wersją 11.1.0-2 wynika z niebezpiecznej deserializacji danych kontrolowanych przez użytkownika w module keditorservices. Nieuwierzytelniony atakujący może wysłać spreparowany obiekt PHP w parametrze GET kdata do endpointu redirectWidgetCmd, co prowadzi do wykonania dowolnego kodu PHP w kontekście procesu serwera WWW.

Ocena ryzyka

Ryzyko dla organizacji obejmuje całkowite przejęcie serwera WWW, kradzież danych, modyfikację treści oraz dalsze ataki na infrastrukturę wewnętrzną.

Rekomendacja

Należy natychmiast zaktualizować Kaltura do wersji 11.1.0-2 lub nowszej oraz sprawdzić logi pod kątem prób eksploatacji.

Oryginalny opis (angielski, źródło NVD)

A remote code execution vulnerability exists in Kaltura versions prior to 11.1.0-2 due to unsafe deserialization of user-controlled data within the keditorservices module. An unauthenticated remote attacker can exploit this issue by sending a specially crafted serialized PHP object in the kdata GET parameter to the redirectWidgetCmd endpoint. Successful exploitation leads to execution of arbitrary PHP code in the context of the web server process.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS