CVE-2021-47735

Nome do Software Vulnerável e Versões Afetadas CMSimple versão 5.4

Descrição O software contém uma vulnerabilidade de execução remota de código autenticada que permite a atacantes logados injetar código PHP malicioso em arquivos de template. Atacantes podem explorar a funcionalidade de edição de templates criando um payload de reverse shell e salvando-o através do endpoint de edição de templates com um token CSRF válido. A funcionalidade vulnerável envolve a capacidade de modificar arquivos de template. O endpoint da API utilizado para edição de templates requer um token CSRF válido. O parâmetro vulnerável é o conteúdo do arquivo de template sendo editado.

Recomendações Atualize para uma versão mais recente que contenha uma correção para esta vulnerabilidade. Como solução temporária, restrinja o acesso à funcionalidade de edição de templates. Garanta que tokens CSRF válidos sejam implementados e verificados para todas as requisições de edição de templates.