PT-2024-20322 · Unknown · Komm.One Cms+1
Publicado
2024-03-17
·
Atualizado
2025-03-25
·
CVE-2024-24230
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Komm.One CMS versão 10.4.2.14
Descrição
O problema está relacionado a uma vulnerabilidade de injeção de modelo no lado do servidor (SSTI) por meio do mecanismo de modelos Velocity. Ela permite que invasores remotos executem código arbitrário por meio de uma URL que especifique
java.lang.Runtime em conjunto com getRuntime().exec, seguido por um comando do sistema operacional.Recomendações
Para o Komm.One CMS versão 10.4.2.14, como solução temporária, considere desativar o mecanismo de modelos Velocity até que um patch esteja disponível. Restrinja o acesso a URLs que possam especificar
java.lang.Runtime para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Komm.One Cms
Velocity Template Engine