Katalog CVE

CVE-2020-37071

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka vCard w CraftCMS 3 w wersji 1.0.0 zawiera podatność na deserializację, która pozwala nieautoryzowanym atakującym na wykonanie dowolnego kodu PHP poprzez spreparowany ładunek. Atakujący mogą wygenerować złośliwy, zserializowany ładunek, który wywołuje zdalne wykonanie kodu, wykorzystując funkcjonalność pobierania vCard wtyczki.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym zdalne wykonanie kodu, co może prowadzić do przejęcia kontroli nad systemem. Niezabezpieczone instancje mogą być narażone na różnorodne ataki, w tym kradzież danych czy usunięcie zasobów.

Rekomendacja

Zaleca się aktualizację wtyczki vCard do najnowszej wersji, która eliminuje tę podatność. Dodatkowo, warto wdrożyć mechanizmy zabezpieczające, takie jak monitorowanie i ograniczenie dostępu do funkcji pobierania vCard.

Oryginalny opis (angielski, źródło NVD)

CraftCMS 3 vCard Plugin 1.0.0 contains a deserialization vulnerability that allows unauthenticated attackers to execute arbitrary PHP code through a crafted payload. Attackers can generate a malicious serialized payload that triggers remote code execution by exploiting the plugin's vCard download functionality with a specially crafted request.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS