PT-2022-17696 · Modx · Modx Revolution
Cyberinsane
·
Publicado
2022-02-26
·
Atualizado
2023-03-27
·
CVE-2022-26149
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
MODX Revolution versões 2.8.3-pl e anteriores
Descrição
A vulnerabilidade permite que administradores autenticados remotamente executem código arbitrário ao fazer o upload de um arquivo executável. Isso é possível porque a configuração “Tipos de arquivos que podem ser enviados” pode ser alterada por um administrador, permitindo o upload de arquivos maliciosos.
Recomendações
Para as versões 2.8.3-pl e anteriores do MODX Revolution, atualize para uma versão que corrija este problema. Como solução temporária, considere restringir a configuração “Tipos de arquivos que podem ser enviados” para impedir que administradores enviem arquivos executáveis. Além disso, restrinja o acesso ao recurso de envio de arquivos para minimizar o risco de exploração.
Exploit
Correção
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Modx Revolution