PT-2021-22817 · Unknown · Concrete Cms
Publicado
2021-09-27
·
Atualizado
2021-09-30
·
CVE-2021-40109
CVSS v3.1
6.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do Concrete CMS até a 8.5.5
Descrição
Uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF) permite que usuários acessem arquivos proibidos em sua rede local. Usuários com permissões para fazer upload de arquivos de sites externos podem enviar uma URL que redirecione para um recurso interno de qualquer tipo de arquivo, e o redirecionamento é executado, carregando o conteúdo do arquivo do servidor de destino. Isso permite o upload de arquivos de tipos não permitidos.
Recomendações
Para as versões do Concrete CMS até a 8.5.5, atualize para uma versão posterior à 8.5.5 para resolver o problema. Como solução alternativa temporária, considere restringir a capacidade de enviar arquivos de sites externos para minimizar o risco de exploração.
Correção
SSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Concrete Cms