PT-2021-10884 · Z Blogphp · Z-Blogphp
Publicado
2021-01-27
·
Atualizado
2021-02-04
·
CVE-2020-23352
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
Z-BlogPHP versão 1.6.0 Valyria
Descrição
O problema está relacionado a um controle de acesso incorreto no Z-BlogPHP. É possível contornar a autenticação usando comparação fraca do PHP e um hash mágico. A função
passwordvisit input password() em zb user/plugin/passwordvisit/include.php usa comparação fraca para autenticação, o que pode ser contornado com valores de hash mágico.Recomendações
Para o Z-BlogPHP versão 1.6.0 Valyria, considere desativar a função
passwordvisit input password() até que um patch esteja disponível para impedir a exploração. Restrinja o acesso ao arquivo zb user/plugin/passwordvisit/include.php para minimizar o risco de acesso não autorizado. Evite usar comparação fraca para autenticação na função passwordvisit input password() para impedir que a autenticação seja contornada por meio de valores de hash mágico.Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Z-Blogphp