PT-2021-11232 · Openmage · Openmage

Publicado

2021-01-21

·

Atualizado

2021-01-28

·

CVE-2020-26285

CVSS v3.1

8.7

Alta

VetorAV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N
**Nome do software vulnerável e versões afetadas:
Versões do OpenMage anteriores à 19.4.10
Versões do OpenMage anteriores à 20.0.5
Descrição:
O OpenMage é uma alternativa ao Magento CE desenvolvida pela comunidade. A vulnerabilidade permite a execução remota de código. Um administrador com permissão para importar/exportar dados e criar instâncias de widgets conseguiu injetar um arquivo executável no servidor.
Recomendações:
Para versões anteriores à 19.4.10, atualize para a versão 19.4.10 ou posterior.
Para versões anteriores à 20.0.5, atualize para a versão 20.0.5 ou posterior.

Correção

Unrestricted File Upload

Path traversal

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-434CWE-22

Identificadores relacionados

CVE-2020-26285
GHSA-HJ6W-XRV3-WJJ9

Produtos afetados

Openmage