PT-2022-12317 · Unknown · Backdrop Cms
V1N1V131R4
·
Publicado
2022-02-03
·
Atualizado
2024-08-04
·
CVE-2021-45268
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Backdrop CMS versão 1.20
Descrição
Existe uma vulnerabilidade de tipo Cross Site Request Forgery (CSRF), permitindo que invasores remotos obtenham execução remota de código (RCE) no servidor web de hospedagem por meio do upload de um complemento malicioso com um arquivo PHP malicioso. O ataque requer um cookie de sessão de um usuário autenticado com privilégios elevados, que tenha permissão para instalar complementos arbitrários.
Recomendações
Para o Backdrop CMS versão 1.20, como solução temporária, considere restringir o acesso ao recurso de instalação de complementos para minimizar o risco de exploração. Evite usar o recurso de instalação de complementos até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
RCE
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Backdrop Cms