PT-2022-15162 · Unknown · Concrete Cms
Anna
·
Publicado
2022-06-24
·
Atualizado
2022-07-05
·
CVE-2022-21829
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Concrete CMS, versões 9.0.0 a 9.0.2
Concrete CMS, versões 8.5.7 e anteriores
Descrição
A vulnerabilidade permite que um invasor baixe arquivos ZIP via HTTP e execute código a partir desses arquivos, o que pode levar à execução remota de código (RCE). Isso é resolvido aplicando
concrete secure em vez de concrete, garantindo que o Concrete CMS faça solicitações apenas por HTTPS, mesmo que uma solicitação chegue via HTTP.Recomendações
Para as versões 9.0.0 a 9.0.2 do Concrete CMS, atualize para uma versão que aplique
concrete secure em vez de concrete para garantir que as solicitações sejam feitas por HTTPS.Para as versões 8.5.7 e anteriores do Concrete CMS, atualize para uma versão que implemente
concrete secure em vez de concrete para garantir que as solicitações sejam feitas via HTTPS.Como solução alternativa temporária, considere restringir a capacidade de baixar arquivos zip via HTTP até que um patch esteja disponível.
Correção
RCE
Special Elements Injection
Cleartext Transmission of Sensitive Information
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Concrete Cms