Манипуляция данными в Pimcore

Дата публикации:
15.04.2014
Дата изменения:
15.04.2014
Всего просмотров:
920
Опасность:
Средняя
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
(AV:N/AC:M/Au:N/C:N/I:C/A:N/E:U/RL:O/RC:C) = Base:7.1/Temporal:5.3
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Неавторизованное изменение данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Pimcore 2.x
Уязвимые версии: Pimcore 2.x, возможно более ранние версии

Описание:
Уязвимость позволяет удаленному пользователю манипулировать важными данными.

Уязвимость существует из-за определенных сценариев использующих функцию "unserialize()" с контролем доступа ввода пользователя через метод "Pimcore_Tool_Newsletter::getObjectByToken()" в /lib/Pimcore/Tool/Newsletter.php. Удаленный пользователь может с помощью специально сериализованных объектов удалить произвольные файлы.

URL производителя: https://www.pimcore.org/

Решение: Установите последнюю версию 2.2.0 с сайта производителя.

Ссылки: http://www.pimcore.org/en/resources/blog/pimcore+2.2+released_b442
https://github.com/pedrib/PoC/blob/master/pimcore-2.1.0.txt

или введите имя

CAPTCHA