PT-2021-17829 · Unknown · B2Evolution
Publicado
2021-04-15
·
Atualizado
2022-05-03
·
CVE-2021-28242
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
**Nome do software vulnerável e versões afetadas:
b2evolution versão 7.2.2-stable
Descrição:
A vulnerabilidade permite que invasores remotos obtenham informações confidenciais do banco de dados ao injetar comandos SQL no parâmetro
cf name ao criar um novo filtro na guia “Coleções”. Isso ocorre no componente “evoadm.php”.Recomendações:
Para o b2evolution versão 7.2.2-stable, como solução temporária, considere restringir o acesso ao componente “evoadm.php”, especificamente ao criar novos filtros na guia “Coleções”, para minimizar o risco de exploração. Evite usar o parâmetro
cf name no componente afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
B2Evolution