PT-2020-7793 · Unknown+1 · Collabtive+1
Publicado
2020-02-17
·
Atualizado
2022-01-01
·
CVE-2015-0258
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
**Nome do software vulnerável e versões afetadas:
Versões do Collabtive anteriores à 2.1
Descrição:
O problema está relacionado a várias vulnerabilidades de lista negra incompleta na funcionalidade de upload de avatares. Isso permite que usuários remotos autenticados executem código arbitrário ao fazer upload de arquivos com extensões específicas, como
.php3, .php4, .php5 ou .phtml.Recomendações:
Para versões anteriores à 2.1, atualize para a versão 2.1 ou posterior para resolver o problema. Como solução temporária, considere restringir os tipos de arquivo que podem ser carregados por meio da funcionalidade de upload de avatares para impedir a exploração.
Exploit
Correção
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Collabtive
Ubuntu