PT-2021-11749 · Wondercms · Wondercms
Zetc0De
·
Publicado
2021-04-20
·
Atualizado
2022-11-16
·
CVE-2020-35313
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
**Nome do software vulnerável e versões afetadas:
WonderCMS versão 3.1.3
Descrição:
Uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF) na função
addCustomThemePluginRepository no arquivo index.php permite que invasores remotos executem código arbitrário por meio de uma URL maliciosa direcionada ao instalador de temas/plugins. Esse problema afeta usuários autenticados.Recomendações:
Para o WonderCMS versão 3.1.3, como solução temporária, considere desativar a função
addCustomThemePluginRepository no arquivo index.php até que um patch esteja disponível. Restrinja o acesso ao instalador de temas/plugins para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.Exploit
SSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Wondercms