PT-2021-3633 · Hongcms · Hongcms
Q
·
Publicado
2021-05-18
·
Atualizado
2021-05-24
·
CVE-2020-18178
CVSS v3.1
10
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Hongcms versão 4.0.0
Descrição
O problema está relacionado a uma vulnerabilidade de traversal de caminho no componente /hcms/admin/index.php/language/ajax do sistema de gerenciamento de conteúdo Hongcms. Essa vulnerabilidade pode ser explorada por um invasor remoto para visualizar, editar e excluir arquivos arbitrários usando uma solicitação POST especialmente criada para o endpoint “hcms/admin/index.php/language/ajax”. Os parâmetros
language e ajax estão envolvidos na vulnerabilidade, mas não são fornecidos detalhes específicos sobre parâmetros ou variáveis vulneráveis.Recomendações
Para a versão 4.0.0 do Hongcms, atualize para uma versão que inclua uma correção para este problema, pois a versão atual permite que invasores remotos manipulem arquivos.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Hongcms