CVE-2021-36766 in concrete5informazioni

Riassunto

di VulDB • 27/06/2026

Concrete5 fino alla versione 8.5.5 deserializza dati non attendibili. Il codice vulnerabile si trova nel metodo Logging::update_logging() del file controllers/single_page/dashboard/system/environment/logging.php. L'input dell'utente passato tramite il parametro della richiesta logFile non viene adeguatamente sanificato prima di essere utilizzato in una chiamata alla funzione PHP file_exists(). Ciò può essere sfruttato da utenti malintenzionati per iniettare oggetti PHP arbitrari nell'ambito dell'applicazione (PHP Object Injection tramite l'avvolgente stream phar://), consentendo loro di eseguire una varietà di attacchi, come l'esecuzione di codice PHP arbitrario.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Prenotare

16/07/2021

Divulgazione

30/07/2021

Moderazione

accettato

CPE

pronto

EPSS

0.03680

KEV

no

Attività

molto basso

Fonti

Might our Artificial Intelligence support you?

Check our Alexa App!