Эта уязвимость позволяет удаленным злоумышленникам записывать произвольные файлы на затронутые установки CentOS Web Panel cwp-e17.0.9.8.923…
Эта уязвимость позволяет удаленным злоумышленникам записывать произвольные файлы на затронутые установки CentOS Web Panel cwp-e17.0.9.8.923. Для эксплуатации этой уязвимости аутентификация не требуется. Конкретная ошибка существует в файле ajax_mod_security.php. При анализе параметра archivo процесс неправильно проверяет предоставленный пользователем путь перед его использованием в файловых операциях. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте root. Идентифицирована как ZDI-CAN-9722.
Программный продукт предоставляет API или аналогичный интерфейс для взаимодействия с внешними субъектами, однако интерфейс включает опасный метод или функцию, которые не имеют надлежащих ограничений.
https://cwe.mitre.org/data/definitions/749.html →Открыть в коллекции CWE →Злоумышленник через ранее установленное вредоносное приложение внедряет код в контекст веб-страницы, отображаемой компонентом WebView. С помощью внедрённого кода злоумышленник способен манипулировать DOM-деревом и cookie-файлами страницы, раскрывать конфиденциальную информацию и запускать атаки на веб-приложение изнутри веб-страницы.
https://capec.mitre.org/data/definitions/500.html →Открыть в коллекции CAPEC →