PT-2022-10090 · Unknown · October Cms
Sushiwushi
·
Publicado
2022-01-14
·
Atualizado
2022-08-05
·
CVE-2021-32650
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do October CMS anteriores à 1.0.473 e à 1.1.6
Descrição
O October CMS é uma plataforma de sistema de gerenciamento de conteúdo (CMS) auto-hospedada baseada no framework PHP Laravel. Um invasor com acesso ao backend pode executar código PHP usando o recurso de importação de temas, contornando o recurso de modo seguro que impede a execução de PHP nos modelos do CMS.
Recomendações
Para versões anteriores à 1.0.473, atualize para a versão 1.0.473 ou aplique o patch à instalação manualmente como solução alternativa.
Para versões anteriores à 1.1.6, atualize para a versão 1.1.6 ou aplique o patch à instalação manualmente como solução alternativa.
Como solução alternativa temporária, considere restringir o acesso ao recurso de importação de temas até que um patch seja aplicado.
Exploit
Correção
Special Elements Injection
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
October Cms