PT-2021-21633 · Rpcms · Rpcms

Zhang Zhiyi

·

Publicado

2021-07-26

·

Atualizado

2022-07-12

·

CVE-2021-37394

CVSS v3.1

8.8

Alta

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões 1.8 e anteriores do RPCMS
Descrição
A vulnerabilidade permite que invasores interajam com a API e alterem a variável role para admin, conseguindo assim o registro de um usuário administrador.
Recomendações
Para as versões 1.8 e anteriores do RPCMS, como solução temporária, considere restringir o acesso ao endpoint da API que permite a modificação da variável role até que um patch esteja disponível.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Exploit

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Identificadores relacionados

CVE-2021-37394

Produtos afetados

Rpcms