PT-2020-7762 · Smarty+2 · Smarty+2
Eldar Marcussen
·
Publicado
2020-06-01
·
Atualizado
2020-06-02
·
CVE-2014-8939
CVSS v2.0
4.3
Média
| Vetor | AV:N/AC:M/Au:N/C:P/I:N/A:N |
Nome do software vulnerável e versões afetadas
Lexiglot até 20/11/2014
Descrição
A vulnerabilidade permite que invasores remotos obtenham informações confidenciais, especificamente o caminho completo, por meio de uma solicitação ao endpoint “include/smarty/plugins/modifier.date format.php”, caso o PHP tenha uma configuração não recomendada que gere mensagens de aviso.
Recomendações
Para o Lexiglot até 20/11/2014, considere restringir o acesso ao endpoint “include/smarty/plugins/modifier.date format.php” até que uma correção esteja disponível. Além disso, revise e ajuste as configurações do PHP para evitar a geração de mensagens de aviso, o que pode ajudar a minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Lexiglot
Php
Smarty