PT-2021-11586 · Inoerp · Inoerp

Publicado

2021-02-10

·

Atualizado

2021-07-21

·

CVE-2020-28870

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
**Nome do software vulnerável e versões afetadas:
InoERP versão 0.7.2
Descrição:
A vulnerabilidade permite que um invasor não autorizado execute código arbitrário no lado do servidor devido à falta de validações no endpoint da API /modules/sys/form personalization/json fp.php.
Recomendações:
Para o InoERP versão 0.7.2, considere restringir o acesso ao endpoint /modules/sys/form personalization/json fp.php até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Exploit

Code Injection

RCE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-94CWE-20

Identificadores relacionados

CVE-2020-28870

Produtos afetados

Inoerp