PT-2020-15545 · Microweber · Microweber
Virendratiwari03
·
Publicado
2020-11-09
·
Atualizado
2020-11-20
·
CVE-2020-23138
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Microweber versão 1.1.18
Descrição
Foi descoberta uma vulnerabilidade de upload de arquivos sem restrições na página da conta de administrador do Microweber. Um invasor pode enviar código PHP ou qualquer extensão (por exemplo, .exe) para o servidor web, fornecendo dados de imagem e o tipo de conteúdo
image/jpeg com a extensão .php.Recomendações
Para a versão 1.1.18 do Microweber, considere restringir o upload de arquivos apenas às extensões permitidas e validar o tipo de conteúdo dos arquivos enviados para evitar a exploração. Como solução temporária, restrinja o acesso à página da conta de administrador até que uma correção esteja disponível.
Correção
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Microweber