PT-2022-27405 · Unknown · Movable Type Premium Advanced+3
Shiga Takuma
·
Publicado
2022-12-07
·
Atualizado
2022-12-12
·
CVE-2022-45113
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
Movable Type versões 7 r.5301 e anteriores
Movable Type Advanced versões 7 r.5301 e anteriores
Movable Type versões 6.8.7 e anteriores
Movable Type Advanced versões 6.8.7 e anteriores
Movable Type Premium versões 1.53 e anteriores
Movable Type Premium Advanced versões 1.53 e anteriores
Descrição
O problema está relacionado à validação inadequada da correção sintática da entrada, o que pode ser explorado por um invasor remoto não autenticado. Ao fazer com que um usuário acesse uma URL especialmente criada, um invasor pode definir uma URL especialmente criada para a página de redefinição de senha, permitindo-lhe realizar um ataque de phishing.
Recomendações
Para as versões 7 r.5301 e anteriores do Movable Type, atualize para uma versão posterior à r.5301.
Para as versões 7 r.5301 e anteriores do Movable Type Advanced, atualize para uma versão posterior à r.5301.
Para as versões 6.8.7 e anteriores do Movable Type, atualize para uma versão posterior à 6.8.7.
Para as versões 6.8.7 e anteriores do Movable Type Advanced, atualize para uma versão posterior à 6.8.7.
Para as versões 1.53 e anteriores do Movable Type Premium, atualize para uma versão posterior à 1.53.
Para as versões 1.53 e anteriores do Movable Type Premium Advanced, atualize para uma versão posterior à 1.53.
Correção
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Movable Type
Movable Type Advanced
Movable Type Premium
Movable Type Premium Advanced