PT-2021-3934 · Contao · Contao
Leofeyer
·
Publicado
2021-08-11
·
Atualizado
2021-08-23
·
CVE-2021-37626
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do Contao anteriores à 4.4.56
Versões do Contao anteriores à 4.9.18
Versões do Contao anteriores à 4.11.7
Descrição
O problema está relacionado ao gerenciamento incorreto da geração de código no Contao, permitindo que um invasor carregue arquivos PHP arbitrários por meio de tags de inserção no back-end do Contao. Isso pode afetar a confidencialidade, a integridade e a disponibilidade das informações protegidas. As instalações só são afetadas se tiverem usuários de back-end não confiáveis com direitos para modificar campos exibidos no front-end.
Recomendações
Atualize para o Contao 4.4.56 para resolver o problema.
Atualize para o Contao 4.9.18 para resolver o problema.
Atualize para o Contao 4.11.7 para resolver o problema.
Se não for possível atualizar, desative o login para usuários não confiáveis do back-end como uma solução temporária.
Exploit
Correção
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Contao