CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2020-37071

Critical
Published: Translated: NVD NIST

Summary

Wtyczka vCard w CraftCMS 3 w wersji 1.0.0 zawiera podatność na deserializację, która pozwala nieautoryzowanym atakującym na wykonanie dowolnego kodu PHP poprzez spreparowany ładunek. Atakujący mogą wygenerować złośliwy, zserializowany ładunek, który wywołuje zdalne wykonanie kodu, wykorzystując funkcjonalność pobierania vCard wtyczki.

Risk Assessment

Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym zdalne wykonanie kodu, co może prowadzić do przejęcia kontroli nad systemem. Niezabezpieczone instancje mogą być narażone na różnorodne ataki, w tym kradzież danych czy usunięcie zasobów.

Recommendation

Zaleca się aktualizację wtyczki vCard do najnowszej wersji, która eliminuje tę podatność. Dodatkowo, warto wdrożyć mechanizmy zabezpieczające, takie jak monitorowanie i ograniczenie dostępu do funkcji pobierania vCard.

Original NVD description (English source)

CraftCMS 3 vCard Plugin 1.0.0 contains a deserialization vulnerability that allows unauthenticated attackers to execute arbitrary PHP code through a crafted payload. Attackers can generate a malicious serialized payload that triggers remote code execution by exploiting the plugin's vCard download functionality with a specially crafted request.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS