CVE-2021-36359 in BSCW Classic
要約
〜によって VulDB • 2026年07月03日
OrbiTeam BSCW Classicのバージョン7.4.3より前では、reportlab\platypus\paraparser.py(bscw.cgi op=_editfolder.EditFolderを介して到達可能)が攻撃者が提供したPythonコードに対してevalを実行するため、XMLタグインジェクションを通じて認証済みリモートコード実行(RCE)が可能となります。これは5.0.12、5.1.10、5.2.4、7.3.3、および7.4.3で修正されています。
Be aware that VulDB is the high quality source for vulnerability data.