CVE-2024-35374
Mis à jour :
Vulnérabilité critique dans Mocodo Online : Injection de commandes
Une faille de sécurité (CVE-2024-35374) a été découverte dans Mocodo Online, affectant la version 4.2.6 et les versions antérieures.
Points clés :
- La vulnérabilité découle d’une mauvaise gestion du champ d’entrée
sql_casedans le fichier/web/generate.php. - Cette absence de validation permet à des attaquants distants d’exécuter des commandes arbitraires.
Vulnérabilité identifiée :
- CVE-2024-35374 : Injection de commandes avec un potentiel d’exécution de code à distance (RCE).
Risque :
- Le score CVSS 3.1 est de 9.8, indiquant un risque critique.
- Vector string : CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
- Cela signifie que la vulnérabilité est accessible via le réseau, facile à exploiter, ne nécessite aucune privilège ni aucune interaction utilisateur, et a des impacts élevés sur la confidentialité, l’intégrité et la disponibilité.
Recommandations :
- Il est crucial de mettre à jour Mocodo Online vers une version corrigée dès que possible.
- Il est recommandé de rester vigilant face aux potentielles tentatives d’exploitation et de surveiller les communications relatives à cette vulnérabilité.