PT-2021-11236 · Openmage · Openmage

Mark-Netalico

·

Publicado

2021-01-21

·

Atualizado

2021-01-28

·

CVE-2020-26295

CVSS v3.1

8.7

Alta

VetorAV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N
**Nome do software vulnerável e versões afetadas:
Versões do OpenMage anteriores à 19.4.10
Versões do OpenMage anteriores à 20.0.5
Descrição:
O OpenMage, uma alternativa ao Magento CE desenvolvida pela comunidade, apresenta uma falha que permite que um administrador com permissão para importar/exportar dados e editar páginas do CMS injete um arquivo executável no servidor por meio do XML de layout.
Recomendações:
Para versões do OpenMage anteriores à 19.4.10, atualize para a versão 19.4.10 ou posterior.
Para versões do OpenMage anteriores à 20.0.5, atualize para a versão 20.0.5 ou posterior.

Correção

Unrestricted File Upload

Path traversal

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-434CWE-22

Identificadores relacionados

CVE-2020-26295
GHSA-52C6-6V3V-F3FG

Produtos afetados

Openmage