PT-2021-10124 · Icms · Icms
Publicado
2021-04-29
·
Atualizado
2021-05-03
·
CVE-2020-18070
CVSS v3.1
9.1
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H |
**Nome do software vulnerável e versões afetadas:
iCMS versão 7.0.13
Descrição:
A vulnerabilidade permite que invasores remotos excluam pastas ao injetar comandos em uma solicitação HTTP maliciosa direcionada ao método
do del() do componente “database.admincp.php”. Isso possibilita que invasores possam manipular o sistema por meio da injeção de comandos maliciosos.Recomendações:
Para o iCMS versão 7.0.13, considere desativar o método
do del() no componente “database.admincp.php” até que uma correção esteja disponível para impedir que invasores remotos excluam pastas. Restrinja o acesso ao componente “database.admincp.php” para minimizar o risco de exploração.Exploit
Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Icms