Уязвимость BDU:2022-02925

Идентификатор: BDU:2022-02925.

Наименование уязвимости: Уязвимость системы управления контентом dotCMS, связанная с неверным ограничением имени пути к каталогу с ограниченным доступом, позволяющая нарушителю выполнить произвольный код.

Описание уязвимости: Уязвимость системы управления контентом dotCMS связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с помощью специально созданных запросов к файлам POST
Уязвимое ПО: Прикладное ПО информационных систем dotCMS LLC dotCMS до 22.03 | Прикладное ПО информационных систем dotCMS LLC dotCMS до 5.3.8.10 | Прикладное ПО информационных систем dotCMS LLC dotCMS до 21.06.7 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 28.03.2022.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению:
Использование рекомендаций:
https://www.dotcms.com/security/SI-62.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-26352.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://www.dotcms.com/security/SI-62
https://blog.assetnote.io/2022/05/03/hacking-a-bank-using-dotcms-rce/
https://blog.assetnote.io/2022/05/03/dotcms-rce-advisory/
https://github.com/h1ei1/POC/tree/main/CVE-2022-26352
https://www.securitylab.ru/news/531502.php
https://www.cisa.gov/sites/default/files/csv/known_exploited_vulnerabilities.csv