PT-2020-13391 · Microweber · Microweber
Virendratiwari03
·
Publicado
2020-05-20
·
Atualizado
2022-05-24
·
CVE-2020-13241
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Microweber versão 1.1.18
Descrição
A vulnerabilidade permite o upload irrestrito de arquivos, pois o endpoint “admin/view:modules/load module:users#edit-user=1” não verifica se a extensão do arquivo corresponde a um arquivo de imagem ao usar a opção “Adicionar imagem” na tela “Editar usuário”.
Recomendações
Para a versão 1.1.18 do Microweber, como solução temporária, considere desativar a funcionalidade de upload de imagens na tela “Editar usuário” até que uma correção esteja disponível. Restrinja o acesso ao endpoint “admin/view:modules/load module:users#edit-user=1” para minimizar o risco de exploração. Evite usar a opção de upload de arquivos no endpoint afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Microweber