На CVE-2024-44000 в конце августа указал исследователь Рафи Мухаммад из Patchstack.Anti-Malware.ru
Уязвимость CVE-2024-6386 позволяет злоумышленникам добиться удаленного выполнения кода через инъекцию шаблонов на стороне сервера (SSTI) и, как результат, получить полный контроль над скомпрометированной системой.CNews
Однако специалисты BI.Zone в рамках собственного исследования уязвимости разработали подход, который позволяет реализовать сценарий эксплуатации даже при стандартной конфигурации приложения.CNews
При отсутствии ограничений, установленных, например, в .htaccess злоумышленник может просто ввести верный URL в адресной строке браузера.Anti-Malware.ru