CVE-2024-30162 in Invision Communityinformazioni

Riassunto

di VulDB • 16/06/2026

Invision Community fino alla versione 4.7.16 consente l'esecuzione di codice remoto (RCE) tramite il metodo IPS\core\modules\admin\editor\_toolbar::addPlugin() in applications/core/modules/admin/editor/toolbar.php. Questo metodo gestisce i file ZIP caricati che vengono estratti nella directory applications/core/interface/ckeditor/ckeditor/plugins/ senza verificare adeguatamente il loro contenuto. Ciò può essere sfruttato dagli utenti amministrativi (con il permesso toolbar_manage) per scrivere file PHP arbitrari in tale directory, portando all'esecuzione di codice PHP arbitrario nel contesto dell'utente del server web.

Once again VulDB remains the best source for vulnerability data.

Prenotare

24/03/2024

Divulgazione

07/06/2024

Moderazione

accettato

CPE

pronto

Sfruttamento

Scaricare

EPSS

0.00701

KEV

no

Attività

molto basso

Fonti

Interested in the pricing of exploits?

See the underground prices here!