PT-2021-3961 · Fuel Cms · Fuel Cms
Bunneyops
·
Publicado
2021-08-09
·
Atualizado
2021-08-17
·
CVE-2021-38290
CVSS v2.0
9.3
Alta
| Vetor | AV:N/AC:M/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
FUEL CMS versão 1.5.0
Descrição
Existe uma vulnerabilidade a ataques de cabeçalho de host devido à falta de neutralização de elementos especiais nos arquivos fuel/modules/fuel/config/fuel constants.php e fuel/modules/fuel/libraries/Asset.php. Isso pode permitir que um invasor remoto comprometa a confidencialidade, integridade e disponibilidade de informações protegidas. Um invasor pode utilizar um ataque man-in-the-middle, como o phishing.
Recomendações
Para o FUEL CMS versão 1.5.0, considere desativar o acesso aos arquivos
fuel/modules/fuel/config/fuel constants.php e fuel/modules/fuel/libraries/Asset.php até que uma correção esteja disponível. Restrinja o acesso a esses módulos para minimizar o risco de exploração. Evite usar os arquivos fuel/modules/fuel/config/fuel constants.php e fuel/modules/fuel/libraries/Asset.php em operações confidenciais até que o problema seja resolvido.Exploit
Correção
Special Elements Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Fuel Cms