CVE-2020-28062

HisiPHP versão 2.0.11

Existe uma falha de controle de acesso que permite que um usuário mal-intencionado remoto execute código arbitrário por meio de pacotes especialmente criados. A vulnerabilidade está relacionada à linha $files = Dir::getList($decompath. '/Upload/Plugins/), que processa listagens de diretórios.

Para o HisiPHP versão 2.0.11, considere restringir o acesso ao diretório /Upload/Plugins/ para minimizar o risco de exploração. Além disso, revise a função Dir::getList() para garantir a validação e sanitização adequadas dos parâmetros de entrada, como $decompath, a fim de impedir a execução de código arbitrário. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.