PT-2021-3843 · Php+1 · Php+1
Faisalfs10X
·
Publicado
2021-07-20
·
Atualizado
2021-08-09
·
CVE-2021-37144
CVSS v3.1
9.1
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H |
Nome do software vulnerável e versões afetadas
CSZ CMS versão 1.2.9
Descrição
O problema está relacionado à função
unlink() do PHP, que pode levar à exclusão arbitrária de arquivos quando a entrada do usuário afeta o caminho do arquivo a ser removido sem sanitização adequada. Isso pode permitir que um invasor remoto exclua arquivos arbitrários. O problema também está associado a erros de liberação de recursos no sistema de gerenciamento de conteúdo.Recomendações
Para o CSZ CMS versão 1.2.9, como solução temporária, considere restringir o acesso à função
unlink() até que um patch esteja disponível. Além disso, certifique-se de que todas as entradas do usuário sejam devidamente sanitizadas para evitar exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
Improper Resource Release
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Csz Cms
Php