БДУ - Print

BDU:2023-00039: Уязвимость реализации сценария login/index.php приложения для управления серверами CentOS Web Panel, позволяющая нарушителю выполнить произвольные команды

Описание уязвимости	Уязвимость реализации сценария login/index.php приложения для управления серверами CentOS Web Panel связана с непринятием мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды путем отправки специально созданных HTTP-запросов
Вендор	The CentOS Project
Наименование ПО	CentOS Web Panel
Версия ПО	до 0.9.8.1147
Тип ПО	Сетевое программное средство
Операционные системы и аппаратные платформы	Данные уточняются
Тип ошибки	Непринятие мер по нейтрализации специальных элементов, используемых в команде операционной системы (Внедрение в команду операционной системы)
Идентификатор типа ошибки	CWE-78
Класс уязвимости	Уязвимость кода
Дата выявления	25.10.2022
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10) Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости	Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков. Компенсирующие меры: - использование средств межсетевого экранирования уровня веб-приложений; - при необходимости, удаленного доступа обеспечение защиты канала связи физическими либо криптографическими методами (например, VPN). Использование рекомендаций: https://nvd.nist.gov/vuln/detail/CVE-2022-44877 https://gist.github.com/numanturle/c1e82c47f4cba24cff214e904c227386
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Существует в открытом доступе
Способ эксплуатации	Инъекция
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	http://seclists.org/fulldisclosure/2023/Jan/1 https://gist.github.com/numanturle/c1e82c47f4cba24cff214e904c227386 https://www.youtube.com/watch?v=kiLfSvc1SYY https://nvd.nist.gov/vuln/detail/CVE-2022-44877
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2022-44877
Прочая информация	Данные уточняются