​Обнаружена критическая уязвимость RCE в ПО dotCMS В dotCMS, известной системе управления контентом с открытым исходным кодом, обнаружена уязвимость удаленного выполнения кода с предварительной аутентификацией. Критическая уязвимость CVE-2022-26352 связана с атакой обхода каталога при выполнении загрузки файлов, позволяющей злоумышленнику выполнять произвольные команды на базовой системе. "Хакер может загружать произвольные файлы в систему", – говорит Шубхам Шах в отчете Assetnote. "Загрузив JSP-файл в корневой каталог tomcat, можно добиться выполнения кода, а затем выполнения команд". Другими словами, позволяющая загружать произвольные файлы уязвимость может быть использована для замены уже существующих файлов в системе на веб-оболочку, через которую злоумышленник может получить постоянный удаленный доступ к устройству. 📖Посмотреть 𝚝𝚑𝚎 𝚖𝚊𝚝𝚛𝚒𝚡