PT-2024-39069 · Spip+2 · Spip+2

Arthur Deloffre

+1

·

Publicado

2024-09-06

·

Atualizado

2025-11-24

·

CVE-2024-8517

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões do SPIP anteriores à 4.3.2, 4.2.16 e 4.1.18
Descrição
O SPIP está suscetível a uma vulnerabilidade de injeção de comando. Um invasor remoto não autenticado pode executar comandos arbitrários do sistema operacional enviando uma solicitação HTTP de upload de arquivo multiparte especialmente criada. Uma prova de conceito foi publicada, aumentando o risco de exploração. Aproximadamente mais de 200 dispositivos potencialmente afetados foram identificados por meio do dorking do ZoomEye.
Recomendações
As versões do SPIP anteriores à 4.3.2 devem ser atualizadas.
As versões do SPIP anteriores à 4.2.16 devem ser atualizadas.
As versões do SPIP anteriores à 4.1.18 devem ser atualizadas.

Exploit

Correção

RCE

OS Command Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-73CWE-646CWE-78

Identificadores relacionados

CVE-2024-8517
USN-7318-1

Produtos afetados

Linuxmint
Spip
Ubuntu