PT-2024-18238 · Shopwind · Shopwind
Glzjin
·
Publicado
2024-02-21
·
Atualizado
2024-05-17
·
CVE-2024-1705
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Shopwind até a 4.6
Descrição
Uma falha crítica afeta a função
actionCreate do arquivo /public/install/controllers/DefaultController.php no componente de instalação, levando à injeção de código. O ataque pode ser iniciado remotamente, mas a complexidade é bastante alta, dificultando a exploração.Recomendações
Para versões do Shopwind até a 4.6, considere desativar a função
actionCreate do arquivo /public/install/controllers/DefaultController.php como uma solução temporária até que um patch esteja disponível.No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Shopwind