PT-2021-19488 · Pluck · Pluck
Naiagoesawoo
·
Publicado
2021-12-10
·
Atualizado
2021-12-14
·
CVE-2021-31746
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Pluck-CMS Pluck versão 4.7.15
Descrição
A vulnerabilidade permite que um invasor faça o upload de arquivos ZIP especialmente criados, resultando em traversal de diretório e, potencialmente, na execução de código arbitrário.
Recomendações
Para o Pluck-CMS Pluck versão 4.7.15, considere restringir o upload de arquivos zip ou validar o conteúdo dos arquivos zip enviados para impedir a traversal de diretórios e a execução de código arbitrário. Como solução temporária, considere desativar o recurso de upload de arquivos zip até que uma correção esteja disponível.
Exploit
Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Pluck