PT-2022-17757 · 74Cmsse · 74Cmsse

N1Ce759

Publicado

2022-03-28

Atualizado

2022-03-31

CVE-2022-26271

CVSS v3.1

7.5

Alta

Vetor

AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Nome do software vulnerável e versões afetadas

74cmsSE versão 3.4.1

Descrição

A vulnerabilidade permite a leitura de um arquivo arbitrário por meio do parâmetro url no endpoint indexcontrollerDownload.php.

Recomendações

Para o 74cmsSE versão 3.4.1, evite usar o parâmetro url no endpoint indexcontrollerDownload.php até que o problema seja resolvido. Considere restringir o acesso ao arquivo Download.php para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

Exploit

Correção

Files Accessible to External Parties

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-552

Identificadores relacionados

CVE-2022-26271

Produtos afetados

74Cmsse

PT-2022-17757 · 74Cmsse · 74Cmsse

CVE-2022-26271

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 3