PT-2024-29636 · Ec Cube · Ec-Cube
Publicado
2024-07-30
·
Atualizado
2025-03-18
·
CVE-2024-41924
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões da série 4 do EC-CUBE
Descrição
Existe uma vulnerabilidade pela qual o software aceita dados externos não confiáveis juntamente com dados confiáveis. Se explorada, um invasor com privilégios administrativos pode conseguir instalar pacotes PHP arbitrários. Isso poderia levar à instalação de versões obsoletas de pacotes PHP, que podem estar sujeitas a vulnerabilidades conhecidas.
Recomendações
Para a série EC-CUBE versão 4, certifique-se de que apenas dados confiáveis sejam aceitos e valide todas as entradas para impedir a instalação de pacotes PHP arbitrários. Como solução temporária, considere restringir a instalação de pacotes PHP apenas àqueles que sejam confiáveis e estejam atualizados.
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ec-Cube