PT-2020-18300 · Fat Free Framework · Fat-Free Framework

Ikkez

·

Publicado

2020-03-11

·

Atualizado

2022-05-24

·

CVE-2020-5203

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Fat-Free Framework versão 3.7.1
Descrição
A vulnerabilidade permite que invasores executem código arbitrário caso os desenvolvedores passem entradas controladas pelo usuário, como $ REQUEST, $ GET ou $ POST, para o método Clear do framework. Isso pode levar à exploração da vulnerabilidade quando as entradas do usuário não forem devidamente sanitizadas.
Recomendações
Para o Fat-Free Framework versão 3.7.1, evite passar entradas controladas pelo usuário para o método Clear até que um patch esteja disponível. Como solução temporária, considere validar e sanitizar todas as entradas do usuário antes de passá-las para os métodos do framework, a fim de minimizar o risco de exploração.

Correção

Special Elements Injection

Code Injection

RCE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-74CWE-94CWE-20

Identificadores relacionados

CVE-2020-5203
GHSA-HPJ2-4HFJ-G233

Produtos afetados

Fat-Free Framework