PT-2021-22598 · Phpmywind · Phpmywind
Kietna
·
Publicado
2021-09-07
·
Atualizado
2021-09-14
·
CVE-2021-39503
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
**Nome do software vulnerável e versões afetadas:
PHPMyWind versão 5.6
Descrição:
A vulnerabilidade permite a execução remota de código devido a uma filtragem insuficiente de entradas. Especificamente, a falta de filtragem para caracteres como
<, >, ?, =, , etc., permite que um invasor injete código PHP no arquivo /include/config.cache.php por meio da função WriteConfig().Recomendações:
Para o PHPMyWind versão 5.6, considere desativar a função
WriteConfig() até que um patch esteja disponível para evitar possíveis ataques de injeção de código. Restrinja o acesso ao arquivo /include/config.cache.php para minimizar o risco de exploração. Evite usar entradas não filtradas na função afetada para mitigar o risco. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.Exploit
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Phpmywind