PT-2020-15877 · Concrete5 · Concrete5
Publicado
2020-09-04
·
Atualizado
2021-11-01
·
CVE-2020-24986
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do Concrete5 até a 8.5.2, inclusive
Descrição
A vulnerabilidade permite o upload irrestrito de arquivos de tipos perigosos, como arquivos .php, por meio do Gerenciador de Arquivos. Isso pode ser feito modificando a configuração do site para permitir o upload do arquivo PHP, que pode então ser usado para executar comandos arbitrários.
Recomendações
Para versões do Concrete5 até e incluindo a 8.5.2, atualize para uma versão que restrinja o upload de tipos de arquivos perigosos ou modifique a configuração do site para impedir tais uploads.
Como solução temporária, considere restringir o acesso ao Gerenciador de Arquivos para minimizar o risco de exploração.
Exploit
Correção
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Concrete5