PT-2022-27774 · Akeneo+1 · Akeneo Pim Community Edition+1
Adesaegher
·
Publicado
2022-12-09
·
Atualizado
2024-03-06
·
CVE-2022-46157
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Akeneo PIM Community Edition anteriores à v5.0.119 e à v6.0.53
Descrição
O Akeneo PIM é um sistema de gerenciamento de informações de produtos (PIM) de código aberto que permite que usuários remotos autenticados executem código PHP arbitrário no servidor ao fazer o upload de uma imagem manipulada. A correção para clientes dos Serviços Akeneo PIM baseados em nuvem foi aplicada desde 30 de outubro de 2022. Recomenda-se que os usuários atualizem.
Recomendações
Para versões anteriores à v5.0.119 e v6.0.53, atualize para uma versão que forneça um arquivo de configuração do servidor Apache HTTP corrigido.
Como solução alternativa temporária, substitua qualquer referência a
<FilesMatch .php$> nas configurações do Apache HTTP por: <Location “/index.php”>.Os usuários da Community Edition devem alterar a configuração do servidor Apache HTTP de acordo com as instruções para se protegerem.
Exploit
Correção
Unrestricted File Upload
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Akeneo Pim Community Edition
Apache Http Server