La vulnérabilité RCE dans le logiciel d’entreprise Dynamicweb pourrait permettre une compromission du serveur

Une vulnérabilité dans Dynamicweb pourrait permettre à un attaquant non authentifié de compromettre le serveur d’une victime, ont averti les chercheurs.

Dynamicweb est une suite d’entreprise populaire qui fournit des services tels que la gestion de contenu, le marketing numérique et les solutions de commerce électronique.

La vulnérabilité, découverte par des chercheurs d’AssetNote, pourrait permettre à un acteur malveillant d’obtenir des privilèges et d’exécuter du code, compromettant l’application et le serveur.

Il a été détaillé dans un article de blog de AssetNote, qui a été publié récemment.

« Un attaquant non authentifié peut ajouter un nouvel utilisateur administrateur disposant d’un accès administratif complet à l’installation de commerce électronique de Dynamicweb », a déclaré Shubham Shah, qui a trouvé le bogue. La gorgée quotidienne.

« Une fois que l’attaquant a cet accès administrateur, il est possible de télécharger un shell Web et d’exécuter la commande. Cela conduirait à un compromis complet de l’application et du serveur.

‘Extrêmement facile’

La vulnérabilité « était difficile à trouver, mais est extrêmement facile à exploiter », a déclaré Shah.

Il a été introduit pour la première fois dans la base de code en 2018 et n’a pas été corrigé jusqu’à ce qu’AssetNote divulgue le bogue en février 2022.

Les utilisateurs de la branche 9.x de Dynamicweb sont « très probablement vulnérables depuis 2018 », a déclaré Shah, qui a ajouté qu’il ne connaissait pas l’étendue des utilisateurs non corrigés.

AssetNote a signalé le bogue à Dynamicweb, qui a depuis publié un certain nombre de correctifs pour le problème. Les utilisateurs sont invités à mise à jour vers une version corrigée dès que possible.