Уязвимость удаленного выполнения кода (RCE) в компоненте управления шаблонами в REDAXO CMS 5.20.0 позволяет удаленно прошедшим проверку подлинности администраторам выполнять произвольные команды операционной системы путем внедрения PHP-кода в активный шаблон. Полезная нагрузка выполняется, когда посетители получают доступ к страницам внешнего интерфейса, используя скомпрометированный шаблон.
Показать оригинальное описание (EN)
A Remote Code Execution (RCE) vulnerability in the template management component in REDAXO CMS 5.20.0 allows remote authenticated administrators to execute arbitrary operating system commands by injecting PHP code into an active template. The payload is executed when visitors access frontend pages using the compromised template.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Высокие
Нужны права администратора
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Redaxo Redaxo
cpe:2.3:a:redaxo:redaxo:5.20.0:*:*:*:*:*:*:*
|
— | — |