A vulnerability has been found in DTStack Taier 1.4.0. This affects the function Runtime.exec of the component REST API. The manipulation of the argument sqlText leads to os command injection. The attack is possible to be carried out remotely. The exploit has been disclosed to the public and may be used. The vendor was contacted early about this disclosure but did not respond in any way.
DTStack Taier 1.4.0 contains an OS command injection vulnerability in the REST API's Runtime.exec function through the sqlText parameter. Remote attackers can execute arbitrary commands without authentication, with public exploits available.
ثغرة حقن أوامر نظام التشغيل في DTStack Taier 1.4.0 تسمح للمهاجمين بتنفيذ أوامر عشوائية عبر معامل sqlText في واجهة REST API. الهجوم يمكن تنفيذه عن بعد بدون الحاجة إلى مصادقة، والاستغلالات متاحة للجمهور.
يحتوي DTStack Taier 1.4.0 على ثغرة حقن أوامر نظام التشغيل في واجهة REST API من خلال معامل sqlText. يمكن للمهاجمين البعيدين تنفيذ أوامر عشوائية بدون مصادقة، مع توفر استغلالات عامة.
Upgrade DTStack Taier to a patched version beyond 1.4.0 immediately. Implement network segmentation to restrict REST API access to trusted networks only. Apply input validation and sanitization for all sqlText parameters. Monitor for suspicious command execution patterns in logs. Disable or restrict the Runtime.exec endpoint if not required.
قم بترقية DTStack Taier إلى نسخة مصححة أحدث من 1.4.0 فوراً. طبق تقسيم الشبكة لتقييد وصول REST API على الشبكات الموثوقة فقط. طبق التحقق من صحة المدخلات وتنظيفها لجميع معاملات sqlText. راقب أنماط تنفيذ الأوامر المريبة في السجلات. عطل أو قيد نقطة نهاية Runtime.exec إذا لم تكن مطلوبة.