PT-2021-23208 · Basercms · Basercms
Akagi Yusuke
·
Publicado
2021-11-26
·
Atualizado
2021-12-01
·
CVE-2021-41243
CVSS v3.1
9.1
Crítica
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:L |
Nome do software vulnerável e versões afetadas
baserCMS versões 4.5.3 e anteriores
Descrição
O sistema de gerenciamento do baserCMS apresenta uma vulnerabilidade potencial de “Zip Slip” e uma vulnerabilidade de injeção de comando no sistema operacional. Usuários com permissões para fazer upload de arquivos podem enviar arquivos ZIP maliciosos, capazes de executar comandos arbitrários no sistema operacional do host. Esse problema deve ser resolvido quando o sistema de gerenciamento for utilizado por um número indeterminado de usuários.
Recomendações
Atualize para a versão mais recente do baserCMS. Como solução temporária, considere restringir as permissões de upload de arquivos para minimizar o risco de exploração. Evite usar o recurso de upload de arquivos até que o problema seja resolvido.
Correção
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Basercms