PT-2022-15052 · Unknown · October Cms
Cydave
+1
·
Publicado
2022-02-23
·
Atualizado
2023-07-24
·
CVE-2022-21705
CVSS v2.0
8.5
Alta
| Vetor | AV:N/AC:M/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do Octobercms anteriores à 1.0.474
Versões do Octobercms anteriores à 1.1.10
Descrição
O Octobercms é uma plataforma CMS auto-hospedada baseada no framework PHP Laravel. Nas versões afetadas, as entradas do usuário não eram devidamente sanitizadas antes da renderização. Um usuário autenticado com permissões para criar, modificar e excluir páginas do site pode explorar essa vulnerabilidade para contornar
cms.safe mode / cms.enableSafeMode a fim de executar código arbitrário. Essa vulnerabilidade afeta apenas painéis de administração que dependem do modo seguro e de permissões restritas. Para explorar essa vulnerabilidade, um invasor deve primeiro ter acesso à área de back-end.Recomendações
Para versões anteriores à 1.0.474, atualize para a Build 474 (v1.0.474) ou aplique manualmente o patch disponível em https://github.com/octobercms/library/commit/c393c5ce9ca2c5acc3ed6c9bb0dab5ffd61965fe à sua instalação.
Para versões anteriores à 1.1.10, atualize para a v1.1.10 ou aplique manualmente o patch disponível em https://github.com/octobercms/library/commit/c393c5ce9ca2c5acc3ed6c9bb0dab5ffd61965fe à sua instalação.
Exploit
Correção
Special Elements Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
October Cms