PT-2017-10698 · Ellislab · Expressionengine

Publicado

2017-06-22

Atualizado

2019-10-09

CVE-2017-0897

CVSS v3.1

7.5

Alta

Vetor

AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Name of the Vulnerable Software and Affected Versions ExpressionEngine versions 2.x through 2.11.7 ExpressionEngine versions 3.x through 3.5.4

Description The issue allows for the creation of an object signing token with weak entropy. Successfully guessing the token can lead to remote code execution.

Recommendations For ExpressionEngine versions 2.x through 2.11.7, update to version 2.11.8 or later. For ExpressionEngine versions 3.x through 3.5.4, update to version 3.5.5 or later.

Correção

RCE

Use of Insufficiently Random Values

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-330CWE-331

Identificadores relacionados

CVE-2017-0897

Produtos afetados

Expressionengine

PT-2017-10698 · Ellislab · Expressionengine

CVE-2017-0897

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 8