<p>Parameter uuid sent is sent to OS command. In newest version of the application’s code (commit id <a href="https://github.com/opentechinstitute/commotion-apps/commit/3bcf912eec5d3b7b0192cf4c21e334c6775ec482" class="commit-link"><tt>3bcf912</tt></a>) this parameter can be tampered with to allow for arbitrary command execution. Anonymous, not authenticated access to the web interface is required.</p>

<p><a href="https://github.com/opentechinstitute/commotion-apps/blob/3bcf912eec5d3b7b0192cf4c21e334c6775ec482/lua/luci/controller/commotion/apps_controller.lua#L534-L543">https://github.com/opentechinstitute/commotion-apps/blob/3bcf912eec5d3b7b0192cf4c21e334c6775ec482/lua/luci/controller/commotion/apps_controller.lua#L534-L543</a></p>

<p>To exploit this vulnerability, attacker should set up a new application (unique name, ip address/port pair) and submit code in uuid parameter using same bypass as in WRT-01-001 vulnerability.</p>

<p>Originally reported as WRT-01-002</p>

<p style="font-size:small;-webkit-text-size-adjust:none;color:#666;">—<br>Reply to this email directly or <a href='https://github.com/opentechinstitute/commotion-apps/issues/11'>view it on GitHub</a>.<img src='https://github.com/notifications/beacon/HSS0tS4nfORw_XnPQF8f0YEoceVgpH2cCUKQ-5ICRQ_JcdiCIwt9DgnJ4SykEGr9.gif' height='1' width='1'></p>