En allvarlig PHP-deserialiseringssårbarhet som leder till kodexekvering har korrigerats i Imunify360.
Upptäckt av Cisco Talos-forskaren Marcin 'Icewall' Noga, sårbarheten “kan orsaka ett deserialiseringstillstånd med kontrollerbar data och sedan exekvera godtycklig kod”, vilket gör att webbservrar är öppna för kapning.
Spårat som CVE-2021-21956 och gav ett CVSSv3-poäng på 8.2, säkerhetsbristen finns i CloudLinuxs Imunify360 versioner 5.8 och 5.9. Imunify360 är en säkerhetssvit för Linux-webbservrar inklusive patchhantering, domänsvartlistning och brandväggsfunktioner.
I en säkerhetsrådgivning som publicerades på måndagen sa Cisco Talos att felet hittades i Ai-Bolits skannerfunktion för skadlig programvara i programvaran.
Ai-Bolit-komponenten används för att skanna och kontrollera webbplatsrelaterade filer, såsom .php-, .js- eller .html-innehåll, och installeras inbyggt som en tjänst med root-privilegier. Inom en deobfuscation-klass för modulen innebär ett misslyckande att sanera data som har skickats att godtycklig kodexekvering kan utföras under unserialization.
Om programvaran är konfigurerad för genomsökning av filsystem i realtid, kan angripare utlösa en attack genom att skapa en skadlig fil på målservern, eller om en användare luras att utföra en genomsökning av en skapad nyttolastfil på uppdrag av hotaktören.
Cisco rapporterade sina resultat till leverantören den 1 oktober och man kom överens om ett samordnat offentliggörande. Linux webbutvecklare som använder Imunify360 bör uppgradera sina versioner till den senaste versionen, i skrivande stund, version 6.1.
ZDNet har kontaktat leverantören och vi kommer att uppdatera när vi hör tillbaka.
Tidigare och relaterad bevakning
FBI-varning: Detta noll-dagars VPN-programvarufel utnyttjades av APT-hackare
Data från miljontals brasilianer utsatta för läckage av Wi-Fi-programvaruföretag
Facebooks Meta skjuter tillbaka krypteringsplanerna för Messenger och Instagram till 2023
Har du ett tips? Ta kontakt säkert via WhatsApp | Signalera på +447713 025 499, eller över på Keybase: charlie0
Säkerhets-TV | Datahantering | CXO | Datacenter