dotCMSコンテンツ管理ソフトウェアで報告された重大なRCEバグ – thehackernews.com

Critical RCE Bug Reported in dotCMS Content Management Software - thehackernews.com
thehackernews.com
Critical RCE Bug Reported in dotCMS Content Management Software - thehackernews.com
Researchers found a critical RCE vulnerability in the open-source dotCMS content managemen...

CVE-2022-26352として追跡される重大な欠陥は、ファイルのアップロードを実行する際のディレクトリトラバーサル攻撃に起因し、攻撃者が基盤となるシステムで任意のコマンドを実行できるようにします。
「JSPファイルをTomcatのルートディレクトリにアップロードすることで、コードを実行し、コマンドを実行することができます。」
「ファイルがコンテンツAPIを介してdotCMSにアップロードされるが、コンテンツになる前に、dotCMSはファイルを一時ディレクトリに書き留めます」と同社は述べています。

コメント

タイトルとURLをコピーしました