En alvorlig PHP-deserialiseringssårbarhed, der fører til kodeudførelse, er blevet rettet i Imunify360.
Opdaget af Cisco Talos-forsker Marcin 'Icewall' Noga, sårbarheden “kunne forårsage en deserialiseringstilstand med kontrollerbare data og derefter udføre vilkårlig kode”, hvilket efterlader webservere åbne for kapring.
Sporet som CVE-2021-21956 og udstedt en CVSSv3-score på 8.2, er sikkerhedsfejlen til stede i CloudLinux's Imunify360 versioner 5.8 og 5.9. Imunify360 er en sikkerhedspakke til Linux-webservere, herunder patch-administration, domænesortlistning og firewall-funktioner.
I en sikkerhedsrådgivning offentliggjort i mandags sagde Cisco Talos, at fejlen blev fundet i softwarens Ai-Bolit malware-scannerfunktionalitet.
Ai-Bolit-komponenten bruges til at scanne og kontrollere webstedsrelaterede filer, såsom .php-, .js- eller .html-indhold, og installeres indbygget som en tjeneste med root-rettigheder. Inden for en deobfuscation-klasse af modulet betyder en fejl i at rense data, der er blevet indsendt, at vilkårlig kodeudførelse kan udføres under unserialisering.
Hvis softwaren er konfigureret til filsystemscanning i realtid, kan angribere udløse et angreb ved at oprette en ondsindet fil på målserveren, eller hvis en bruger bliver narret til at udføre en scanning på en udformet nyttelastfil på vegne af trusselsaktøren.
Cisco rapporterede sine resultater til leverandøren den 1. oktober, og der blev aftalt en koordineret offentliggørelse. Linux-webudviklere, der bruger Imunify360, bør opgradere deres builds til den seneste udgivelse, i skrivende stund, version 6.1.
ZDNet har kontaktet leverandøren, og vi vil opdatere, når vi hører tilbage.
Tidligere og relateret dækning
FBI-advarsel: Denne nul-dages VPN-softwarefejl blev udnyttet af APT-hackere
Data fra millioner af brasilianere afsløret i lækage af Wi-Fi-administrationssoftware
Facebooks Meta skubber Messenger- og Instagram-krypteringsplaner tilbage indtil 2023
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller over på Keybase: charlie0
Security TV | Datastyring | CXO | Datacentre