CVE-2019-25441
KrytyczneStreszczenie
thesystem w wersji 1.0 zawiera podatność na wstrzykiwanie poleceń, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych poleceń systemowych poprzez przesyłanie złośliwego wejścia do punktu końcowego run_command. Atakujący mogą wysyłać żądania POST z poleceniami powłoki w parametrze command, co umożliwia wykonanie dowolnego kodu na serwerze bez autoryzacji.
Ocena ryzyka
Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia atakującym zdalne wykonywanie kodu na serwerze, co może prowadzić do przejęcia kontroli nad systemem. Może to skutkować utratą danych, naruszeniem prywatności oraz uszkodzeniem reputacji organizacji.
Rekomendacja
Zaleca się natychmiastowe zaktualizowanie systemu do najnowszej wersji, która eliminuje tę podatność. Dodatkowo, warto wdrożyć mechanizmy zabezpieczające, takie jak filtrowanie wejścia i ograniczenie dostępu do krytycznych punktów końcowych.
Oryginalny opis (angielski, źródło NVD)
thesystem 1.0 contains a command injection vulnerability that allows unauthenticated attackers to execute arbitrary system commands by submitting malicious input to the run_command endpoint. Attackers can send POST requests with shell commands in the command parameter to execute arbitrary code on the server without authentication.

