PT-2021-4176 · Etherpad · Etherpad
Paul Gerste
·
Publicado
2021-04-06
·
Atualizado
2021-07-30
·
CVE-2021-34816
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Etherpad versão 1.8.13
Descrição
A vulnerabilidade está relacionada a um problema de injeção de argumentos no gerenciamento de plug-ins do Etherpad, permitindo que usuários com privilégios executem código arbitrário no servidor. Isso pode ocorrer mediante a instalação de plug-ins a partir de uma fonte controlada pelo invasor, possibilitando potencialmente a execução remota de código.
Recomendações
Para a versão 1.8.13 do Etherpad, considere restringir as instalações de plug-ins a fontes confiáveis até que um patch esteja disponível. Como solução temporária, limite os privilégios dos usuários que podem instalar plug-ins para minimizar o risco de exploração.
Exploit
Correção
Argument Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Etherpad