PT-2020-14311 · October · October Cms

Ka1N4T

·

Publicado

2020-11-23

·

Atualizado

2021-11-18

·

CVE-2020-15246

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Nome do software vulnerável e versões afetadas
Versões 1.0.421 a 1.0.468 do October CMS
Descrição
Um invasor pode explorar essa vulnerabilidade para ler arquivos locais em um servidor October CMS por meio de uma solicitação especialmente criada. A vulnerabilidade pode ser explorada por usuários não autenticados.
Recomendações
Para as versões 1.0.421 a 1.0.468, atualize para a Build 469 (v1.0.469) ou v1.1.0 para resolver a vulnerabilidade.
Como solução alternativa temporária para versões que não podem ser atualizadas para a Build 469, aplique manualmente o patch disponível em https://github.com/octobercms/library/commit/80aab47f044a2660aa352450f55137598f362aa4 à sua instalação.

Correção

Incorrect Authorization

Path traversal

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-863CWE-22

Identificadores relacionados

CVE-2020-15246
GHSA-XWJR-6FJ7-FC6H

Produtos afetados

October Cms