Katalog CVE

CVE-2022-25369

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W Dynamicweb przed wersją 9.12.8 odkryto problem, który pozwala atakującemu na dodanie nowego użytkownika administratora bez autoryzacji. Wadliwość ta wynika z błędu logicznego przy określaniu, czy etapy konfiguracji produktu mogą być uruchamiane ponownie.

Ocena ryzyka

Po uzyskaniu dostępu jako nowy użytkownik administratora, atakujący może przesłać plik wykonywalny i uzyskać możliwość wykonania poleceń, co stwarza poważne zagrożenie dla bezpieczeństwa systemu.

Rekomendacja

Zaleca się aktualizację do wersji 9.5.9, 9.6.16, 9.7.8, 9.8.11, 9.9.8, 9.10.18, 9.12.8 lub 9.13.0 (i nowszych), aby usunąć tę podatność.

Oryginalny opis (angielski, źródło NVD)

An issue was discovered in Dynamicweb before 9.12.8. An attacker can add a new administrator user without authentication. This flaw exists due to a logic issue when determining if the setup phases of the product can be run again. Once an attacker is authenticated as the new admin user they have added, it is possible to upload an executable file and achieve command execution. This is fixed in 9.5.9, 9.6.16, 9.7.8, 9.8.11, 9.9.8, 9.10.18, 9.12.8, and 9.13.0 (and later).

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS