PT-2021-3489 · Machform · Machform
Publicado
2021-06-28
·
Atualizado
2021-07-02
·
CVE-2021-20104
CVSS v2.0
9.3
Alta
| Vetor | AV:N/AC:M/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do Machform anteriores à 16
Descrição
O problema está relacionado à sanitização insuficiente de anexos de arquivos enviados com formulários através do endpoint
upload.php. Isso permite a execução remota de código sem autenticação. A vulnerabilidade está associada à falta de restrições no envio de arquivos no editor de criação de formulários do Machform. A exploração da vulnerabilidade pode permitir que um invasor remoto execute código arbitrário.Recomendações
Para versões anteriores à 16, atualize para a versão 16 ou posterior para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso ao endpoint
upload.php para minimizar o risco de exploração.Exploit
Correção
Memory Leak
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Machform