CVE-2019-25687: Kritische Sicherheitslücke in Pegasus CMS erlaubt Fernzugriff
⚠️ CVE-Referenzen:
CVE-2019-25687
Zusammenfassung
Eine kritische Sicherheitslücke im Pegasus CMS ermöglicht es Angreifern, ohne Authentifizierung beliebigen Code auf dem Server auszuführen. Die Schwachstelle betrifft die extra_fields.php-Komponente und erlaubt es, über manipulierte POST-Anfragen an submit.php eine interaktive Shell zu erlangen. Entwickler sollten dringend ein Update einspielen, um diese Lücke zu schließen und ihre PHP-Anwendungen vor unsachgemäßer Eingabebehandlung zu schützen.
Wisdom - Pegasus Cms - CRITICAL - CVE-2019-25687.
Pegasus CMS 1.0 is susceptible to a remote code execution vulnerability via the extra_fields.php plugin. This flaw allows unauthenticated attackers to exploit unsafe eval functionality, enabling them to execute arbitrary commands on the server. By sending crafted POST requests to the submit.php endpoint with malicious PHP code in the action parameter, attackers can gain interactive shell access. This vulnerability highlights the importance of securing PHP applications against improper input handling and validation.
BADGES: 👾 EXPLOITED | 🟡 PoC | SecurityVulnerability.io
Quelle: securityvulnerability.io