BDU:2025-04719

Опубликовано: 20 мар. 2023

Источник: fstec

CVSS3: 9.8

CVSS2: 10

EPSS Критический

Описание

Уязвимость функции exec() сценария icepay.php VoIP-системы MagnusBilling связана с непринятием мер по нейтрализации специальных элементов, используемых в команде операционной системы при обработке параметра democ. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды путем отправки специально созданного HTTP-запроса

Вендор

Magnus Solution

Наименование ПО

MagnusBilling

Версия ПО

6 (MagnusBilling)

7 (MagnusBilling)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://github.com/magnussolution/magnusbilling7/commit/ccff9f6370f530cc41ef7de2e31d7590a0fdb8c3

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-30258
CVE

EPSS

Процентиль: 100%

0.93708

Критический

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

CVE-2023-30258

CVSS3: 9.8

nvd

больше 2 лет назад

Command Injection vulnerability in MagnusSolution magnusbilling 6.x and 7.x allows remote attackers to run arbitrary commands via unauthenticated HTTP request.

GHSA-4v39-q2jh-wjrw

CVSS3: 9.8

github

больше 2 лет назад

Command Injection vulnerability in MagnusSolution magnusbilling 6.x and 7.x allows remote attackers to run arbitrary commands via unauthenticated HTTP request.

EPSS

Процентиль: 100%

0.93708

Критический

9.8 Critical

CVSS3

10 Critical

CVSS2