PT-2021-20053 · Alkacon · Alkacon Opencms
Gwestenberger
·
Publicado
2021-10-08
·
Atualizado
2021-10-15
·
CVE-2021-3312
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Alkacon OpenCms, versões 11.0 a 11.0.2
Descrição
Uma vulnerabilidade de entidade externa XML (XXE) permite que usuários remotos autenticados com privilégios de edição extraiam arquivos do sistema de arquivos do servidor ao fazer upload de um documento SVG malicioso.
Recomendações
Para as versões 11.0 a 11.0.2, atualize para uma versão que inclua uma correção para este problema, a fim de impedir a exfiltração de arquivos.
Como solução temporária, considere restringir o envio de documentos SVG ou limitar os privilégios de edição a usuários confiáveis até que um patch esteja disponível.
Exploit
Correção
XXE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alkacon Opencms