ГлавнаяБаза уязвимостей БДУ → BDU:2022-02925
10критическая

BDU:2022-02925 (CVE-2022-26352)

Уязвимость системы управления контентом dotCMS, связанная с неверным ограничением имени пути к каталогу с ограниченным доступом, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2022-05-13
Описание

Уязвимость системы управления контентом dotCMS связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с помощью специально созданных запросов к файлам POST

Затрагиваемое ПО и версии
dotCMS (до 22.03)dotCMS (до 5.3.8.10)dotCMS (до 21.06.7)
Способ устранения

Использование рекомендаций:
https://www.dotcms.com/security/SI-62

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://www.dotcms.com/security/SI-62https://blog.assetnote.io/2022/05/03/hacking-a-bank-using-dotcms-rce/https://blog.assetnote.io/2022/05/03/dotcms-rce-advisory/https://github.com/h1ei1/POC/tree/main/CVE-2022-26352https://www.securitylab.ru/news/531502.phphttps://www.cisa.gov/sites/default/files/csv/known_exploited_vulnerabilities.csv
Проверьте безопасность своего сайта и почты → Полная проверка домена