CVE-2020-10560

Versões do Open Source Social Network (OSSN) até a 5.3

Foi descoberta uma falha no Open Source Social Network (OSSN) em que um caminho de arquivo controlado pelo usuário, utilizando uma função rand() criptográfica fraca, pode ser usado para ler qualquer arquivo com as permissões do servidor web. Isso pode levar a um comprometimento adicional. O invasor deve realizar um ataque de força bruta contra o SiteKey para inseri-lo em uma URL criada para components/OssnComments/ossn com.php e/ou libraries/ossn.lib.upgrade.php.

Para as versões da Open Source Social Network (OSSN) até a 5.3, considere desativar o acesso aos arquivos components/OssnComments/ossn com.php e libraries/ossn.lib.upgrade.php até que um patch esteja disponível. Restrinja o acesso à SiteKey para minimizar o risco de exploração. Evite usar caminhos de arquivos controlados pelo usuário para prevenir possíveis abusos. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.