CVE-2020-37227

Nome do Software Vulnerável e Versões Afetadas HS Brand Logo Slider versão 2.1

Descrição Uma falha de upload de arquivo irrestrito permite que usuários autenticados ignorem a validação de extensão de arquivo do lado do cliente. Ao interceptar solicitações de upload para o parâmetro logoupload na interface do administrador, invasores podem carregar arquivos arbitrários com extensões executáveis, como .php, para alcançar a execução remota de código (a capacidade de executar comandos arbitrários no servidor host).

Recomendações Restrinja o acesso ao parâmetro logoupload na interface do administrador como uma medida de mitigação temporária. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.