PT-2021-21270 · Showdoc · Showdoc
Pd1R
·
Publicado
2021-09-08
·
Atualizado
2021-09-15
·
CVE-2021-36440
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
ShowDoc versão 2.9.5
Descrição
A vulnerabilidade permite que invasores remotos executem código arbitrário por meio do parâmetro
file url no componente AdminUpdateController.class.php. Isso permite que invasores enviem arquivos sem restrições, o que pode levar à execução de código.Recomendações
Para a versão 2.9.5 do ShowDoc, considere restringir o acesso ao parâmetro
file url no componente AdminUpdateController.class.php para minimizar o risco de exploração. Como solução temporária, evite usar o parâmetro file url até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.Exploit
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Showdoc