PT-2020-12517 · Sprout · Sprout Forms
Daniel Kalinowski
+1
·
Publicado
2020-05-07
·
Atualizado
2021-10-26
·
CVE-2020-11056
CVSS v3.1
7.4
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:L |
Nome do software vulnerável e versões afetadas
Versões do Sprout Forms anteriores à 3.9.0
Descrição
Existe uma possível vulnerabilidade de injeção de modelo no lado do servidor no Sprout Forms, que poderia levar à execução de código Twig ao usar campos personalizados em e-mails de notificação.
Recomendações
Para versões anteriores à 3.9.0, atualize para a versão 3.9.0 para corrigir o problema.
Como solução alternativa temporária para usuários que não possam atualizar, atualize todos os e-mails de notificação para usar o modelo “Notificação básica (Sprout Email)” e evite usar o modelo “Notificação básica (Sprout Forms)” ou quaisquer modelos personalizados que exibam campos de formulário.
Correção
Code Injection
Special Elements Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Sprout Forms