PT-2018-13852 · Ucms · Ucms

Publicado

2018-09-14

Atualizado

2022-02-20

CVE-2018-17036

CVSS v3.1

9.8

Crítica

Vetor

AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Name of the Vulnerable Software and Affected Versions UCMS versions 1.4.6 through 1.6

Description An issue allows PHP code injection during installation via the systemdomain parameter to "install/index.php", as demonstrated by injecting a phpinfo() call into /inc/config.php.

Recommendations For UCMS version 1.4.6, avoid using the systemdomain parameter in the "install/index.php" endpoint until the issue is resolved. For UCMS version 1.6, restrict access to the installation process to minimize the risk of exploitation.

Exploit

Correção

Code Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-94

Identificadores relacionados

CVE-2018-17036

Produtos afetados

Ucms

PT-2018-13852 · Ucms · Ucms

CVE-2018-17036

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 4