ГлавнаяБаза уязвимостей БДУ → BDU:2018-00548
10критическая

BDU:2018-00548

Уязвимость сценариев file_uploader.php и file_downloader.php системы управления видеоконтентом ClipBucket, позволяющая нарушителю выполнять произвольные команды операционной системы
Опубликовано: 2018-04-19
Описание

Уязвимость сценариев file_uploader.php (/api/file_uploader.php) и file_downloader.php (/actions/file_downloader.php) системы управления видеоконтентом ClipBucket связана с неприятием мер по нейтрализации специальных элементов, используемых в командах операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнять произвольные команды операционной системы с использованием параметра file_name

Затрагиваемое ПО и версии
ClipBucket (до 4.0.0 (Release 4902))
Способ устранения

Использование рекомендаций:
обновление программного обеспечения до версии 4.0.0 (Release 4902) или более поздней версии (https://github.com/arslancb/clipbucket/releases/download/4902/clipbucket-4902.zip)

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
http://lists.openwall.net/full-disclosure/2018/02/27/1https://www.sec-consult.com/en/blog/advisories/os-command-injection-arbitrary-file-upload-sql-injection-in-clipbucket/index.html
Проверьте безопасность своего сайта и почты → Полная проверка домена