Nome do software vulnerável e versões afetadas:

Form Framework (extensão do sistema “form”) (versões afetadas não especificadas)

Descrição:

O problema decorre da falha em separar adequadamente a configuração relacionada ao sistema da configuração gerada pelo usuário, levando a riscos de injeção de SQL e escalonamento de privilégios. Um invasor pode inserir instruções em um arquivo de definição de formulário que não deveria ser modificado, afetando tanto as definições gerenciadas pelo módulo editor de formulários quanto aquelas enviadas diretamente pelo módulo de lista de arquivos. A exploração requer uma conta de usuário válida no backend e a extensão do sistema “form” ativada.

Recomendações:

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.