CVE-2021-46384

MCMS versões 5.2.5 e anteriores

A vulnerabilidade permite que um invasor não autenticado com acesso à rede via HTTP comprometa o MCMS, resultando no controle do sistema. O vetor de ataque é: ${“freemarker.template.utility.Execute”?new()(“calc”)}. Trata-se de uma vulnerabilidade RCE pré-autenticação que permite a execução remota de código arbitrário.

Para as versões 5.2.5 e anteriores do MCMS, como solução temporária, considere restringir o acesso à função Execute no utilitário de modelos do Freemarker para minimizar o risco de exploração.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.