CWE-23:相対パストラバーサル
パストラバーサル文字を含む特別に細工されたZipファイルをサーバーにインポートできます。これにより、意図した範囲外でサーバーにファイルを書き込むことができ、攻撃者がリモートコードを実行することができます。
これらの脆弱性の悪用に成功すると、攻撃者が認証を迂回し、管理者権限を取得することになり、 JWTトークンを偽造して認証をバイパスし、 任意のファイルをサーバーに書き込んでコード実行を達成し、 PowerPanel アプリケーションの権限でサービスにアクセスする テストサーバーまたは本番サーバーへのアクセスの取得 パスワードを学習し、ユーザーまたは管理者の権限で認証する SQL 構文のインジェクション, 任意のファイルをシステムに書き込む リモート コードの実行, システム内のクライアントになりすまして、悪意のあるデータを送信する または任意のデバイスにアクセスした後、システム全体からデータを取得すること。
Team82 は、世界中のサイバーセキュリティエコシステムの安全性を確保するために、影響を受けるベンダーに、調整されたタイムリーな方法で脆弱性を個人的に報告することにコミットしています。 ベンダーおよび研究コミュニティと関わりを持つために、 Team82 は、当社の協調的開示ポリシーをダウンロードして共有するようお客様にお願いしています。Team82 は、製品およびサービスの脆弱性を発見した場合、この報告および開示プロセスに従います。
