PT-2021-22811 · Unknown · Concrete Cms

Reset

Publicado

2021-09-24

Atualizado

2021-09-30

CVE-2021-40102

CVSS v3.1

9.1

Crítica

Vetor

AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H

Nome do software vulnerável e versões afetadas

Versões do Concrete CMS até a 8.5.5

Descrição

Uma falha no Concrete CMS permite a exclusão arbitrária de arquivos por meio da desserialização PHAR na função is dir, associada à injeção de objetos PHP e ao método mágico wakeup.

Recomendações

Para versões até a 8.5.5, considere desativar a função is dir ou restringir seu uso até que um patch esteja disponível para impedir a injeção de objetos PHP associada ao método mágico wakeup.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Deserialization of Untrusted Data

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-502

Identificadores relacionados

CVE-2021-40102

Produtos afetados

Concrete Cms

PT-2021-22811 · Unknown · Concrete Cms

CVE-2021-40102

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 5