Plateforme
php
Composant
devcode-it/openstamanager
Corrigé dans
2.10.3
2.10.2
La vulnérabilité CVE-2026-29782 affecte OpenSTAManager, une solution de gestion de la conformité. Elle permet l'exécution de code à distance (RCE) via l'endpoint oauth2.php qui ne requiert aucune authentification. L'exploitation repose sur l'injection de données malveillantes dans la table zz_oauth2 et l'utilisation de la fonction unserialize() sans restriction de classe, permettant à un attaquant de contrôler l'exécution du code. Les versions affectées sont celles inférieures ou égales à v2.9.8. La correction est disponible dans la version 2.10.2.
Cette vulnérabilité RCE est particulièrement critique car elle ne nécessite aucune authentification préalable. Un attaquant peut exploiter cette faille en insérant une entrée malveillante dans la table zzoauth2, en utilisant le paramètre GET state pour contrôler les données. La fonction unserialize() est ensuite appelée sur le champ accesstoken sans aucune validation ni restriction de classe, permettant l'exécution de code arbitraire sur le serveur. Le risque est d'une prise de contrôle complète du serveur OpenSTAManager, incluant la compromission des données sensibles stockées, la modification de la configuration, et l'utilisation du serveur comme point de pivot pour des attaques ultérieures sur le réseau interne. Cette vulnérabilité est aggravée par la possibilité d'injection SQL dans le module Aggiornamenti, qui peut être utilisée pour écrire dans la table zz_oauth2.
La vulnérabilité CVE-2026-29782 a été publiée le 1er avril 2026. Elle est liée à une vulnérabilité d'injection SQL précédemment rapportée (GHSA-2fr7-cc4f-wh98) dans le module Aggiornamenti, qui permet à un attaquant d'écrire dans la table zz_oauth2. La probabilité d'exploitation est considérée comme moyenne (EPSS score en cours d'évaluation), compte tenu de la simplicité de l'exploitation et de la disponibilité potentielle d'outils d'automatisation. Des preuves publiques d'exploitation (POC) sont susceptibles d'être développées rapidement. Consultez le NVD et CISA pour les mises à jour et les alertes de sécurité.
Organizations using OpenSTAManager, particularly those with legacy configurations or shared hosting environments, are at risk. Systems where the zz_oauth2 table is writable by unauthorized users are especially vulnerable. Those relying on OAuth2 authentication for OpenSTAManager should prioritize patching.
• php: Examine access logs for requests to oauth2.php with unusual or long state parameters.
• php: Search for modifications to the zz_oauth2 table, particularly entries with suspicious serialized data.
• generic web: Monitor network traffic for OAuth2 requests with potentially malicious payloads.
• generic web: Check for the presence of PHP files with unserialize() calls without class restrictions.
disclosure
patch
Statut de l'Exploit
EPSS
0.11% (percentile 29%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour OpenSTAManager vers la version 2.10.2 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, des mesures temporaires peuvent être prises. Il est crucial de restreindre l'accès à la table zzoauth2 pour empêcher l'insertion de données malveillantes. L'utilisation d'un Web Application Firewall (WAF) peut aider à bloquer les requêtes malveillantes ciblant l'endpoint oauth2.php. En outre, il est recommandé de désactiver temporairement l'authentification OAuth2 si elle n'est pas essentielle. Pour la détection, recherchez des tentatives d'injection de données suspectes dans la table zzoauth2 et des requêtes oauth2.php avec des paramètres state inhabituels. Des règles Sigma ou YARA peuvent être développées pour identifier les schémas d'attaque. Après la mise à jour, vérifiez que l'authentification OAuth2 fonctionne correctement et qu'il n'y a pas d'erreurs de configuration.
Actualizar OpenSTAManager a la versión 2.10.2 o superior. Esta versión corrige la vulnerabilidad de deserialización insegura en el endpoint OAuth2.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
C'est une vulnérabilité d'exécution de code à distance (RCE) dans OpenSTAManager, permettant à un attaquant d'exécuter du code sur le serveur sans authentification.
Oui, si vous utilisez OpenSTAManager versions inférieures ou égales à v2.9.8. Vérifiez immédiatement votre version.
Mettez à jour OpenSTAManager vers la version 2.10.2 ou supérieure. En attendant, restreignez l'accès à la table zz_oauth2 et utilisez un WAF.
Bien que des preuves publiques d'exploitation ne soient pas encore largement disponibles, la probabilité est considérée comme moyenne et des POC sont susceptibles d'être développés.
Consultez le NVD (National Vulnerability Database) et CISA (Cybersecurity and Infrastructure Security Agency) pour les informations les plus récentes et les alertes de sécurité.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.