PT-2021-19863 · Neos · Neos/Forms
Publicado
2021-06-21
·
Atualizado
2021-06-29
·
CVE-2021-32697
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do neos/forms anteriores àquela que contém a correção para este problema
Descrição
O problema permite que um formulário seja enviado sem acionar nenhum validador, por meio da criação de uma solicitação
GET especial contendo um estado válido do formulário. O estado do formulário é protegido por um HMAC que ainda é verificado, o que significa que este problema só pode ser explorado se os Form Finishers causarem efeitos colaterais, mesmo que nenhum valor do formulário tenha sido enviado. Os Form Finishers podem ser ajustados para executar uma ação apenas se o formulário enviado contiver alguns dados esperados, ou um Finisher personalizado pode ser adicionado como o primeiro finisher.Recomendações
Para o neos/forms, atualize para uma versão que inclua a correção para esta vulnerabilidade, conforme fornecido no patch https://github.com/neos/form/commit/69de4219b1f58157e2be6b05811463875d75c246.
Como solução alternativa temporária, considere ajustar os Form Finishers para executar uma ação apenas se o formulário enviado contiver alguns dados esperados.
Como alternativa, adicione um Finisher personalizado como o primeiro finisher para minimizar o risco de exploração.
Exploit
Correção
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Neos/Forms