PT-2020-14334 · Basercms · Basercms
Aquilao
·
Publicado
2020-10-30
·
Atualizado
2020-11-03
·
CVE-2020-15277
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões 4.0.0 a 4.4.0 do baserCMS
Descrição
A vulnerabilidade permite a execução remota de código (RCE) por meio do upload de um arquivo de script executável, como um arquivo PHP, após o login como administrador do sistema. O componente “Editar modelo” está vulnerável. Isso também pode levar a Cross-Site Scripting (XSS) por meio da execução arbitrária de scripts. O vetor de ataque requer que um administrador esteja conectado.
Recomendações
Para as versões 4.0.0 a 4.4.0, atualize para a versão 4.4.1 para resolver o problema.
Como solução temporária, considere restringir o acesso ao componente “Editar modelo” até que a atualização seja aplicada.
Correção
Unrestricted File Upload
Special Elements Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Basercms