PT-2021-3443 · Elfinder · Elfinder

Nao-Pon

Publicado

2021-06-14

Atualizado

2022-11-09

CVE-2021-32682

CVSS v2.0

Crítica

Vetor

AV:N/AC:L/Au:N/C:C/I:C/A:C

Nome do software vulnerável e versões afetadas

elFinder versão 2.1.58

Descrição

O problema está relacionado à implementação incorreta do mecanismo de autenticação no gerenciador de arquivos elFinder. Isso pode permitir que um invasor remoto execute código arbitrário. Várias vulnerabilidades afetam o elFinder, permitindo que um invasor execute código e comandos arbitrários no servidor que hospeda o conector PHP do elFinder, mesmo com uma configuração mínima.

Recomendações

Para a versão 2.1.58 do elFinder, atualize para a versão 2.1.59 para resolver o problema.

Como solução temporária para a versão 2.1.58, certifique-se de que o conector não fique exposto sem autenticação.

Exploit

Correção

SSRF

Path traversal

OS Command Injection

Missing Authentication

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-918CWE-22CWE-78CWE-306

Identificadores relacionados

BDU:2021-03303

CVE-2021-32682

GHSA-WPH3-44RJ-92PR

Produtos afetados

Elfinder

PT-2021-3443 · Elfinder · Elfinder

CVE-2021-32682

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 24