CVE-2021-36766 in concrete5info

Zusammenfassung

von VulDB • 27.06.2026

Concrete5 bis 8.5.5 deserialisiert nicht vertrauenswürdige Daten. Der anfällige Code befindet sich in der Methode `Logging::update_logging()` innerhalb von `controllers/single_page/dashboard/system/environment/logging.php`. Benutzerdaten, die über den Anfrageparameter `logFile` übermittelt werden, werden vor ihrer Verwendung im Aufruf der PHP-Funktion `file_exists()` nicht ordnungsgemäß bereinigt. Dies kann von böswilligen Benutzern ausgenutzt werden, um beliebige PHP-Objekte in den Anwendungsbereich einzuschleusen (PHP Object Injection über die phar:// Stream Wrapper), wodurch sie eine Vielzahl von Angriffen durchführen können, wie z. B. das Ausführen willkürlichen PHP-Codes.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Reservieren

16.07.2021

Veröffentlichung

30.07.2021

Moderieren

akzeptiert

Eintrag

VDB-179758

CPE

bereit

EPSS

0.03680

KEV

nein

Aktivitäten

very low

Quellen

Interested in the pricing of exploits?

See the underground prices here!