PT-2022-8642 · Tinyshop · Tinyshop
Publicado
2022-03-25
·
Atualizado
2022-03-31
·
CVE-2020-21554
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H |
Nome do software vulnerável e versões afetadas
TinyShop versão 3.1.1
Descrição
Existe uma falha relacionada à exclusão de arquivos no parâmetro
back list no arquivo controllersadmin.php, que poderia permitir que um usuário mal-intencionado exclua qualquer arquivo, como o install.lock, para reinstalar o CMS.Recomendações
Para a versão 3.1.1 do TinyShop, considere restringir o acesso ao parâmetro
back list no arquivo controllersadmin.php para minimizar o risco de exploração. Como solução temporária, evite usar o parâmetro back list até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Tinyshop