CVE-2020-5297

Versões do OctoberCMS de 1.0.319 a 1.0.465

Um invasor pode explorar essa vulnerabilidade para fazer upload de vários tipos de arquivos, incluindo jpg, jpeg, bmp, png, webp, gif, ico, css, js, woff, woff2, svg, ttf, eot, json, md, less, sass, scss e xml, para qualquer diretório de um servidor October CMS. A vulnerabilidade só pode ser explorada por um usuário de backend autenticado com a permissão cms.manage assets.

Para as versões 1.0.319 a 1.0.465, atualize para a Build 466 (v1.0.466) para resolver o problema.

Como solução alternativa temporária, considere aplicar manualmente o patch disponível em https://github.com/octobercms/october/commit/6711dae8ef70caf0e94cec434498012a2ccd86b8 à sua instalação, caso não seja possível atualizar para a Build 466.