Podatność CVE-2021-32650


Publikacja: 2022-01-14

Opis:
October CMS is a self-hosted content management system (CMS) platform based on the Laravel PHP Framework. Prior to versions 1.0.473 and 1.1.6, an attacker with access to the backend is able to execute PHP code by using the theme import feature. This will bypass the safe mode feature that prevents PHP execution in the CMS templates.The issue has been patched in Build 473 (v1.0.473) and v1.1.6. Those unable to upgrade may apply the patch to their installation manually as a workaround.

Typ:

CWE-74

CVSS2 => (AV:N/AC:L/Au:S/C:P/I:P/A:P)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
6.5/10
6.4/10
8/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Zdalny
Niska
Jednorazowa
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Częściowy
Częściowy
Częściowy
Affected software
Octobercms -> October 

 Referencje:
https://github.com/octobercms/october/security/advisories/GHSA-5hfj-r725-wpc4
https://github.com/octobercms/october/commit/167b592eed291ae1563c8fcc5b9b34a03a300f26

Copyright 2022, cxsecurity.com

 

Back to Top