PT-2022-24880 · Melisplatform · Melisplatform/Melis-Front
Publicado
2022-10-11
·
Atualizado
2022-10-13
·
CVE-2022-39298
CVSS v3.1
7.7
Alta
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:L |
Nome do software vulnerável e versões afetadas
Versões do melisplatform/melis-front anteriores à 5.0.1
Descrição
A vulnerabilidade afeta o MelisFront, o mecanismo que exibe sites hospedados na Melis Platform, responsável por tarefas como exibição de páginas, plug-ins, reescrita de URLs, otimização de pesquisa e SEO. Os invasores podem deserializar dados arbitrários nas versões afetadas do melisplatform/melis-front, levando à execução de código PHP arbitrário no sistema sem a necessidade de autenticação. Esta vulnerabilidade foi corrigida através da restrição das classes permitidas durante a deserialização de dados controlados pelo usuário.
Recomendações
Para versões do melisplatform/melis-front anteriores à 5.0.1, os usuários devem atualizar imediatamente para o melisplatform/melis-front >= 5.0.1 para resolver o problema. Como solução alternativa temporária, considere restringir a deserialização de dados controlados pelo usuário para minimizar o risco de exploração.
Exploit
Correção
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Melisplatform/Melis-Front