La vulnerabilidad fue identificada como CVE-2022-25369 de severidad crítica, sin una puntuación asignada. Esta falla se debe a un problema de lógica al momento de determinar si las fases de configuración del producto se pueden ejecutar nuevamente. Un atacante puede agregar un nuevo usuario administrador sin autenticación. Una vez que un atacante se autentica como el nuevo usuario administrador que ha agregado, podría cargar una webshell y realizar ejecución remota de código (RCE).
Las versiones afectadas son:
- Dynamicweb 9.5.0 al 9.12.7
Ya existen varias PoC (pruebas de conceptos) publicadas disponibles en la red, esto podría conllevar a la publicación de exploits prontamente, recomendamos la actualización de Dynamicweb los más pronto posible.
Recomendamos instalar la actualización correspondiente provista por Dynamicweb, mediante el siguiente enlace:
Referencias: