PT-2021-7954 · Wpanel 4 · Wpanel 4
Admin
·
Publicado
2021-06-05
·
Atualizado
2022-04-08
·
CVE-2021-34257
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
WPanel 4, versões 4.3.1 e anteriores
Descrição
O problema está relacionado à falta de restrições no envio de arquivos, permitindo que um invasor remoto execute código arbitrário ao enviar um arquivo PHP malicioso. Isso pode ser feito por meio de vários recursos de envio de imagens, incluindo a imagem de avatar do Painel, a imagem da pasta de publicações, a imagem da pasta de páginas e a imagem da pasta de galeria.
Recomendações
Para as versões 4.3.1 e anteriores do WPanel 4, considere desativar os recursos de upload de imagens para o Avatar do Painel de Controle, a Pasta de Publicações, a Pasta de Páginas e a Pasta de Galeria até que uma correção esteja disponível. Restrinja o acesso a esses recursos para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Wpanel 4