Удаленное выполнение кода с проверкой подлинности (RCE) в PluXml CMS 5.8.22 позволяет злоумышленнику с доступом к панели администратора внедрить вредоносную веб-оболочку PHP в файл темы (например, home.php).
Показать оригинальное описание (EN)
Authenticated Remote Code Execution (RCE) in PluXml CMS 5.8.22 allows an attacker with administrator panel access to inject a malicious PHP webshell into a theme file (e.g., home.php).
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Высокие
Нужны права администратора
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Pluxml Pluxml
cpe:2.3:a:pluxml:pluxml:5.8.22:*:*:*:*:*:*:*
|
— | — |