PT-2022-28270 — Unknown Winter Cms

PT-2022-28270 · Unknown · Winter Cms

Publicado

2022-07-15

Atualizado

2022-07-15

Nenhuma

Não há classificações de severidade ou métricas disponíveis. Quando houver, atualizaremos as informações correspondentes na página.

Nome do software vulnerável e versões afetadas

Versões do Winter CMS anteriores à 1.0.475

Versões do Winter CMS anteriores à 1.1.9

Versões do Winter CMS anteriores à 1.2

Descrição

A vulnerabilidade permite que usuários autenticados com permissões para criar ou modificar objetos de modelo de tema por meio do editor de back-end do CMS contornem o recurso de segurança cms.enableSafeMode. Isso é preocupante para instâncias do Winter CMS que dependem do Modo Seguro para impedir que usuários com privilégios modifiquem o código PHP dos objetos de modelo de tema do CMS por meio da interface web.

Recomendações

Para versões anteriores à 1.0.475, atualize para a versão 1.0.475 ou posterior.

Para versões anteriores à 1.1.9, atualize para a versão 1.1.9 ou posterior.

Para versões anteriores à 1.2, atualize para a versão 1.2 ou posterior.

Como solução alternativa temporária, aplique manualmente o patch disponível em https://github.com/wintercms/storm/commit/03eb5ce3f2a271670574802b914f7bcaf07663c1 caso não seja possível atualizar para as versões mencionadas.

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Identificadores relacionados

GHSA-Q37H-JHF3-85CJ

Produtos afetados

Winter Cms