PT-2020-15772 · Openmrs · Openmrs Htmlformentry Module
Adam Schaal
+7
·
Publicado
2020-09-25
·
Atualizado
2020-10-05
·
CVE-2020-24621
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do módulo htmlformentry do OpenMRS anteriores à 3.11.0
Descrição
Foi detectada uma vulnerabilidade de execução remota de código, permitindo que um arquivo malicioso da linguagem de modelos Velocity fosse gravado em um diretório por meio de traversal de caminho. Esse arquivo poderia então ser acessado e executado.
Recomendações
Para versões anteriores à 3.11.0, atualize para a versão 3.11.0 ou posterior para resolver a vulnerabilidade. Como solução temporária, considere restringir o acesso aos arquivos da linguagem de modelo Velocity para minimizar o risco de exploração.
Exploit
Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Openmrs Htmlformentry Module