PT-2020-16381 · Kirby · Kirby Panel+1
Publicado
2020-12-08
·
Atualizado
2020-12-10
·
CVE-2020-26255
CVSS v3.1
9.1
Crítica
| Vetor | AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Kirby CMS anteriores à 3.4.5
Versões do Kirby Panel anteriores à 2.5.14
Descrição
Um editor com acesso total ao Kirby Panel pode fazer o upload de um arquivo PHP .phar e executá-lo no servidor. Este problema é crítico se houver potenciais invasores entre os usuários autenticados do Panel, pois eles podem obter acesso ao servidor com esse arquivo .phar. Visitantes sem acesso ao Panel não podem usar esse vetor de ataque.
Recomendações
Para versões do Kirby CMS anteriores à 3.4.5, atualize para a versão 3.4.5 ou uma versão posterior para corrigir o problema.
Para versões do Kirby Panel anteriores à 2.5.14, atualize para a versão 2.5.14 ou uma versão posterior para corrigir o problema.
Como solução temporária para sites Kirby 2 que não podem ser atualizados para o Kirby 3, considere aplicar as alterações do commit relevante para corrigir a vulnerabilidade.
Se você não puder atualizar ou aplicar o patch, considere restringir o acesso ao Kirby Panel para minimizar o risco de exploração.
Correção
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Kirby Cms
Kirby Panel