PT-2021-20168 · Plone · Plone
David Miller
+1
·
Publicado
2021-05-21
·
Atualizado
2021-06-15
·
CVE-2021-33510
CVSS v4.0
5.3
Média
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do Plone até a 5.2.4
Descrição
A vulnerabilidade permite que administradores autenticados remotamente realizem ataques de falsificação de solicitação do lado do servidor (SSRF) por meio de uma URL de evento ical. Isso lhes permite ler uma linha de um arquivo.
Recomendações
Para versões até a 5.2.4, atualize para uma versão que contenha uma correção para este problema, a fim de prevenir ataques SSRF. Como solução temporária, considere restringir o acesso à URL do evento ical para minimizar o risco de exploração.
Correção
SSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Plone