CVE-2024-7928
Mis à jour :
Vulnérabilité de Trajet de Fichier dans FastAdmin
Une faille de sécurité critique, identifiée comme CVE-2024-7928, affecte FastAdmin jusqu’à la version 1.3.3.20220121. Cette vulnérabilité permet à des attaquants distants, sans nécessiter d’authentification préalable, d’accéder à des fichiers sensibles sur le serveur.
Points Clés
- Nature de la vulnérabilité: Trajet de fichier (Path Traversal), classifiée CWE-22.
- Endpoint affecté:
/index/ajax/lang. - Mécanisme d’attaque: Manipulation du paramètre
langdans les requêtes pour échapper à la structure de répertoires prévue. - Conséquences: Exposition d’informations confidentielles telles que des fichiers de configuration, des identifiants de base de données et des clés API.
- Disponibilité: Un preuve de concept (PoC) est publiquement disponible, augmentant le risque d’exploitation.
- Activité sociale: Des publications sur les réseaux sociaux indiquent que cette vulnérabilité est toujours exploitée, avec des rapports de fuites de données et de prises de contrôle de bases de données.
Vulnérabilités
- CVE: CVE-2024-7928
- CWE: CWE-22 (Path Traversal)
Recommandations
- Mise à jour immédiate: Il est fortement recommandé de mettre à jour les installations de FastAdmin vers la version 1.3.4.20220530 ou une version ultérieure pour corriger cette faille.