PT-2020-13657 · Sabberworm+2 · Sabberworm Php Css Parser+2
Sabberworm
·
Publicado
2020-06-03
·
Atualizado
2025-10-14
·
CVE-2020-13756
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Sabberworm PHP CSS Parser anteriores à 8.3.1
php-horde-css-parser versão 1.0.8-1ubuntu1+esm1 e anteriores
Descrição
O problema está relacionado à análise de dados CSS não controlados, o que pode levar à execução remota de código. As funções allSelectors() ou getSelectorsBySpecificity() são chamadas com entrada de um invasor, possivelmente resultando em injeção de código.
Recomendações
Para versões do Sabberworm PHP CSS Parser anteriores à 8.3.1, atualize para a versão 8.3.1 ou posterior para corrigir a vulnerabilidade.
Para o php-horde-css-parser versão 1.0.8-1ubuntu1+esm1 e anteriores, execute
sudo pro fix USN-7502-1 para corrigir a vulnerabilidade e atualize o sistema para a versão do pacote php-horde-css-parser - 1.0.8-1ubuntu1+esm1.Como solução temporária, considere desativar as funções allSelectors() ou getSelectorsBySpecificity() até que um patch esteja disponível.
Exploit
Correção
RCE
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Debian
Sabberworm Php Css Parser
Ubuntu