Pubblicato il 2026-07-02 · Fonte: NVD NIST
La vulnerabilità CVE-2022-50973 colpisce il prodotto Yonyou KSOA 9.0, consentendo l'upload di file arbitrari senza autenticazione. Gli attaccanti possono sfruttare questa vulnerabilità inviando una richiesta POST con parametri di filepath e filename controllati dall'attaccante, senza alcuna validazione. Ciò consente l'esecuzione di codice remoto non autenticato. La prima evidenza di sfruttamento è stata osservata il 7 novembre 2023.
Un attaccante può sfruttare questa vulnerabilità per eseguire codice remoto non autenticato, caricando una webshell JSP con un nome file e un percorso di file arbitrari. Il file caricato viene archiviato nella directory 'pictures' e viene eseguito direttamente dal server web, consentendo l'esecuzione di codice remoto non autenticato. Ciò rappresenta un rischio critico per i sistemi che utilizzano il prodotto Yonyou KSOA 9.0.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, si consiglia di applicare patch di sicurezza o di implementare workaround per limitare l'accesso al servlet di upload di file. Inoltre, è importante implementare controlli di validazione dei file e delle estensioni per prevenire l'upload di file pericolosi. In assenza di informazioni specifiche sui patch, si consiglia di adottare pratiche di sicurezza generiche, come il monitoraggio delle attività di rete e l'implementazione di un sistema di rilevamento delle intrusioni.
La vulnerabilità CVE-2022-50973 è una vulnerabilità di upload di file arbitrari che colpisce il prodotto Yonyou KSOA 9.0, consentendo l'esecuzione di codice remoto non autenticato.
Gli attaccanti possono sfruttare questa vulnerabilità inviando una richiesta POST con parametri di filepath e filename controllati dall'attaccante, senza alcuna validazione.
Per proteggersi da questa vulnerabilità, si consiglia di applicare patch di sicurezza o di implementare workaround per limitare l'accesso al servlet di upload di file, nonché di implementare controlli di validazione dei file e delle estensioni.
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.