CVE-2021-37770

Nucleus CMS versão 3.71

A vulnerabilidade permite que um invasor faça o upload de um arquivo malicioso alterando o caminho de upload para um local sem um arquivo Htaccess. Ao fazer o upload de um arquivo Htaccess com o conteúdo ‘AddType application/x-httpd-php.jpg’, um invasor pode então fazer o upload de uma imagem com um shell, que pode ser executado como PHP, permitindo que o invasor execute comandos e, potencialmente, derrube os recursos do site.

Para o Nucleus CMS versão 3.71, considere desativar o recurso de upload de arquivos até que uma correção esteja disponível para impedir a exploração. Restrinja o acesso à funcionalidade de upload para minimizar o risco de uploads de arquivos maliciosos. Evite usar o recurso de upload para enviar arquivos com conteúdo potencialmente executável, como imagens com shells incorporados, até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.