CVE-2020-27976

Versões do osCommerce Phoenix CE anteriores à 1.0.5.4

A vulnerabilidade permite a injeção remota de comandos do sistema operacional. Ela é causada por um parâmetro POST from vulnerável no arquivo admin/mail.php, que afeta a função mail do PHP e a opção sendmail -f.

Para versões anteriores à 1.0.5.4, atualize para a versão 1.0.5.4 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao arquivo admin/mail.php para minimizar o risco de exploração. Evite usar o parâmetro from na funcionalidade de e-mail afetada até que o problema seja resolvido.