CVE-2021-32924

Invision Community (também conhecido como IPS Community Suite) versões anteriores à 4.6.0

A vulnerabilidade está relacionada ao método IPScmsmodulesfrontpages builder::previewBlock, que interage de forma insegura com o método IPS Theme::runProcessFunction, permitindo a injeção de código PHP baseada em eval por um moderador. Isso se deve a um gerenciamento incorreto da geração de código no software IPS Community Suite. A exploração da vulnerabilidade pode permitir que um invasor remoto execute código PHP arbitrário.

Para versões anteriores à 4.6.0, atualize para a versão 4.6.0 ou posterior para resolver a vulnerabilidade. Como solução temporária, considere restringir o acesso aos métodos IPScmsmodulesfrontpages builder::previewBlock e IPS Theme::runProcessFunction para minimizar o risco de exploração.