PT-2021-11750 · Wondercms · Wondercms
Publicado
2021-04-20
·
Atualizado
2021-06-01
·
CVE-2020-35314
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
**Nome do software vulnerável e versões afetadas:
WonderCMS versão 3.1.3
Descrição:
Existe uma vulnerabilidade de execução remota de código na função
installUpdateThemePluginAction no arquivo index.php, permitindo que invasores remotos enviem um plugin personalizado contendo código arbitrário e obtenham um webshell por meio do instalador de temas/plugins.Recomendações:
Para o WonderCMS versão 3.1.3, como solução temporária, considere desativar a função installUpdateThemePluginAction no arquivo index.php até que um patch esteja disponível. Restrinja o acesso ao instalador de temas/plugins para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Wondercms