В JetBrains TeamCity до версии 2023.11.4 возможно обход аутентификации, позволяющий выполнять административные действия.

В JetBrains TeamCity до версии 2023.05.4 был возможен обход аутентификации, приводящий к удаленному выполнению кода (RCE) на сервере TeamCity.

Протокол HTTP/2 допускает отказ в обслуживании (потребление ресурсов сервера), поскольку отмена запроса может быстро сбросить множество потоков, как это было использовано в реальных условиях с августа по октябрь 2023 года.

В JetBrains TeamCity до версии 2023.11.4 возможно прохождение по пути, позволяющее выполнять ограниченные административные действия.

Drupal до 7.58, 8.x до 8.3.9, 8.4.x до 8.4.6 и 8.5.x до 8.5.1 позволяет удалённым злоумышленникам выполнять произвольный код из-за проблемы, затрагивающей несколько подсистем с конфигурациями модулей по умолчанию или общими.

Макрос Widget Connector в Atlassian Confluence Server до версии 6.6.12 (исправленная версия для 6.6.x), с версии 6.7.0 до 6.12.3 (исправленная версия для 6.12.x), с версии 6.13.0 до 6.13.3 (исправленная версия для 6.13.x), и с версии 6.14.0 до 6.14.2 (исправленная версия для 6.14.x) позволяет удаленным атакующим получить доступ к обходу пути и удаленному выполнению кода на экземпляре Confluence Server или Data Center через инъекцию шаблонов на стороне сервера.

В версиях BIG-IP 16.0.x до 16.0.1.1, 15.1.x до 15.1.2.1, 14.1.x до 14.1.4, 13.1.x до 13.1.3.6 и 12.1.x до 12.1.5.3 и BIG-IQ 7.1.0.x до 7.1.0.3 и 7.0.0.x до 7.0.0.2 интерфейс iControl REST имеет уязвимость неаутентифицированного удаленного выполнения команд. Примечание: версии программного обеспечения, достигшие End of Software Development (EoSD), не оцениваются.

Уязвимость обхода аутентификации в Ivanti EPMM позволяет неавторизованным пользователям получать доступ к ограниченным функциям или ресурсам приложения без надлежащей аутентификации.

Обнаружена проблема в GitLab CE/EE, затрагивающая все версии, начиная с 11.9. GitLab неправильно проверял файлы изображений, которые передавались в анализатор файлов, что приводило к удаленному выполнению команд.

Реализация (1) TLS и (2) DTLS в OpenSSL 1.0.1 до версии 1.0.1g неправильно обрабатывает пакеты расширения Heartbeat, что позволяет удаленным злоумышленникам получать конфиденциальную информацию из памяти процесса через подготовленные пакеты, которые вызывают переполнение буфера, как это было продемонстрировано чтением закрытых ключей, связанным с d1_both.c и t1_lib.c, также известное как ошибка Heartbleed.

Уязвимость удаленного выполнения кода существует в службах удаленного рабочего стола, ранее известных как терминальные службы, когда неаутентифицированный нападающий подключается к целевой системе с помощью RDP и отправляет специально подготовленные запросы, также известная как 'Уязвимость удаленного выполнения кода служб удаленного рабочего стола'.

В Spring Cloud Function версий 3.1.6, 3.2.2 и более старых неподдерживаемых версий при использовании функциональности маршрутизации пользователь может предоставить специально созданный SpEL в качестве выражения маршрутизации, что может привести к удаленному выполнению кода и доступу к локальным ресурсам.

Apache Solr 5.0.0 до Apache Solr 8.3.1 уязвим к удаленному выполнению кода через VelocityResponseWriter. Шаблон Velocity может быть предоставлен через шаблоны Velocity в директории configset `velocity/` или в качестве параметра. Пользовательский набор конфигураций может содержать рендеримые, потенциально вредоносные, шаблоны. Шаблоны, предоставляемые параметрами, по умолчанию отключены, но могут быть включены, установив `params.resource.loader.enabled`, определив писателя ответа с установленным значением `true`. Определение писателя ответа требует доступа к API конфигурации. Solr 8.4 полностью удалил загрузчик ресурсов params и включает рендеринг шаблонов, предоставленных набором конфигураций, только когда набор конфигураций является 'доверенным' (был загружен аутентифицированным пользователем).

В spring cloud gateway версий до 3.1.1+ и 3.0.7+ приложения уязвимы для атаки с внедрением кода, когда включена, предоставлена и не защищена конечная точка Gateway Actuator. Удаленный злоумышленник может сделать злонамеренно созданный запрос, который может разрешить произвольное удаленное выполнение на удаленном хосте.

Неправильное ограничение имени пути к ограниченному каталогу ("Path Traversal") в Fortinet FortiOS 6.0.0 - 6.0.4, 5.6.3 - 5.6.7 и 5.4.6 - 5.4.12 и FortiProxy 2.0.0, 1.2.0 - 1.2.8, 1.1.0 - 1.1.6, 1.0.0 - 1.0.7 в веб-портале SSL VPN позволяет неаутентифицированному злоумышленнику загружать системные файлы через специально созданные HTTP-запросы ресурсов.

Существует уязвимость выполнения кода в веб-фреймворке Stapler, используемом Jenkins 2.153 и более ранних версиях, LTS 2.138.3 и более ранних версиях, в stapler/core/src/main/java/org/kohsuke/stapler/MetaClass.java, которая позволяет злоумышленникам вызывать некоторые методы на Java-объектах, получая доступ к специально созданным URL, которые не предназначены для вызова таким образом.

При использовании протокола Apache JServ (AJP) необходимо проявлять осторожность при доверии входящим соединениям к Apache Tomcat. Tomcat рассматривает AJP соединения как имеющие большую степень доверия, чем, например, аналогичные HTTP соединения. Если такие соединения доступны злоумышленнику, их можно эксплуатировать неожиданными способами. В Apache Tomcat версий 9.0.0.M1 до 9.0.0.30, 8.5.0 до 8.5.50 и 7.0.0 до 7.0.99, Tomcat был поставлен с включенным соединителем AJP по умолчанию, который прослушивал все настроенные IP-адреса. Ожидалось (и рекомендовалось в руководстве по безопасности), что этот соединитель будет отключен, если он не требуется. Этот отчет об уязвимости выявил механизм, который позволял: - возвращать произвольные файлы из любого места в веб-приложении - обрабатывать любые файлы веб-приложения как JSP Более того, если веб-приложение позволяло загрузку файлов и сохраняло эти файлы внутри веб-приложения (или злоумышленник мог контролировать содержимое веб-приложения каким-либо другим способом), то это, вместе с возможностью обрабатывать файл как JSP, делало возможным удаленное выполнение кода. Важно отметить, что смягчения необходимы только в том случае, если порт AJP доступен для ненадежных пользователей. Пользователи, желающие применять подход защитной глубины и блокировать вектор, который позволяет возвращать произвольные файлы и выполнять их как JSP, могут обновиться до Apache Tomcat 9.0.31, 8.5.51 или 7.0.100 или более поздней версии. В версии 9.0.31 было внесено множество изменений в конфигурацию соединителя AJP по умолчанию для повышения защищенности. Вероятно, пользователям, обновляющимся до 9.0.31, 8.5.51 или 7.0.100 или более поздней версии, потребуется внести небольшие изменения в свои конфигурации.

Cacti — это платформа с открытым исходным кодом, которая предоставляет надежную и расширяемую структуру оперативного мониторинга и управления неисправностями для пользователей. В затронутых версиях уязвимость внедрения команд позволяет не прошедшему проверку подлинности пользователю выполнять произвольный код на сервере, на котором работает Cacti, если для любого отслеживаемого устройства был выбран определенный источник данных. Уязвимость находится в файле `remote_agent.php`. Доступ к этому файлу можно получить без аутентификации. Эта функция извлекает IP-адрес клиента через `get_client_addr` и разрешает этот IP-адрес в соответствующее имя хоста через `gethostbyaddr`. После этого проверяется наличие записи в таблице `poller`, где имя хоста соответствует разрешенному имени хоста. Если такая запись найдена, функция возвращает `true`, и клиент авторизован. Эту авторизацию можно обойти из-за реализации функции `get_client_addr`. Функция определена в файле `lib/functions.php` и проверяет несколько переменных `$_SERVER`, чтобы определить IP-адрес клиента. Переменные, начинающиеся с `HTTP_`, могут быть произвольно установлены злоумышленником. Поскольку в таблице `poller` есть запись по умолчанию с именем хоста сервера, на котором работает Cacti, злоумышленник может обойти аутентификацию, например, предоставив заголовок `Forwarded-For: <TARGETIP>`. Таким образом, функция `get_client_addr` возвращает IP-адрес сервера, на котором работает Cacti. Следующий вызов `gethostbyaddr` разрешит этот IP-адрес в имя хоста сервера, который пройдет проверку имени хоста `poller` из-за записи по умолчанию. После обхода авторизации файла `remote_agent.php` злоумышленник может запускать различные действия. Одно из этих действий называется `polldata`. Вызываемая функция `poll_for_data` извлекает несколько параметров запроса и загружает соответствующие записи `poller_item` из базы данных. Если `action` элемента `poller_item` равен `POLLER_ACTION_SCRIPT_PHP`, функция `proc_open` используется для выполнения PHP-скрипта. Управляемый злоумышленником параметр `$poller_id` извлекается с помощью функции `get_nfilter_request_var`, которая допускает произвольные строки. Эта переменная позже вставляется в строку, передаваемую в `proc_open`, что приводит к уязвимости внедрения команд. Например, предоставив `poller_id=;id`, выполняется команда `id`. Чтобы достичь уязвимого вызова, злоумышленник должен предоставить `host_id` и `local_data_id`, где `action` соответствующего `poller_item` установлено в `POLLER_ACTION_SCRIPT_PHP`. Оба этих идентификатора (`host_id` и `local_data_id`) можно легко перебрать. Единственное требование состоит в том, чтобы существовал `poller_item` с действием `POLLER_ACTION_SCRIPT_PHP`. Это очень вероятно на производственном экземпляре, потому что это действие добавляется некоторыми предопределенными шаблонами, такими как `Device - Uptime` или `Device - Polling Time`. Эта уязвимость внедрения команд позволяет не прошедшему проверку подлинности пользователю выполнять произвольные команды, если настроен `poller_item` с типом `action` `POLLER_ACTION_SCRIPT_PHP` (`2`). Обход авторизации следует предотвратить, не позволяя злоумышленнику заставлять `get_client_addr` (файл `lib/functions.php`) возвращать произвольный IP-адрес. Это можно сделать, не учитывая переменные `$_SERVER` `HTTP_...`. Если их следует сохранить по соображениям совместимости, следует, по крайней мере, предотвратить подделку IP-адреса сервера, на котором работает Cacti. Эта уязвимость была устранена как в ветках выпуска 1.2.x, так и в 1.3.x, причем `1.2.23` является первым выпуском, содержащим исправление.

Приложение Spring MVC или Spring WebFlux, работающее на JDK 9+, может быть уязвимо для удаленного выполнения кода (RCE) через связывание данных. Для конкретного эксплойта требуется, чтобы приложение работало на Tomcat как WAR-развертывание. Если приложение развернуто как исполняемый jar-файл Spring Boot, то есть по умолчанию, оно не уязвимо для эксплойта. Однако природа уязвимости является более общей, и могут быть другие способы ее эксплуатации.

В Webmin версий <=1.920 обнаружена проблема. Параметр old в password_change.cgi содержит уязвимость внедрения команд.

Уязвимость внедрения кода в Ivanti EPM Cloud Services Appliance (CSA) позволяет не прошедшему проверку подлинности пользователю выполнять произвольный код с ограниченными разрешениями (nobody).