CVE-2022-50791: Kritische Befehlsinjektions-Lücke in SOUND4-Software
⚠️ CVE-Referenzen:
CVE-2022-50791
Zusammenfassung
In den Versionen <=2.x der SOUND4-Software IMPACT/FIRST/PULSE/Eco existiert eine Schwachstelle, die es lokalen, authentifizierten Nutzern ermöglicht, manipulierte Dateien im /tmp-Verzeichnis zu erstellen. Unauthentifizierte Angreifer können durch einen einzelnen HTTP-POST-Aufruf an das verwundbare ping.php-Skript Befehle ausführen, indem sie die manipulierte Datei triggern und anschließend löschen.
SOUND4 IMPACT/FIRST/PULSE/Eco <=2.x contains a conditional command injection vulnerability that allows local authenticated users to create malicious files in the /tmp directory. Unauthenticated attackers can execute commands by making a single HTTP POST request to the vulnerable ping.php script, which triggers the malicious file and then deletes it.
Quelle: app.opencve.io