正文

PortlandLabs Concrete5文件上传漏洞

admin
admin V管理员 /0 评论 /14 阅读
0418
此篇文章发布距今已超过1156天,您需要注意文章的内容或图片是否可用!

CVE编号

CVE-2020-11476

利用情况

暂无

补丁情况

官方补丁

披露时间

2020-07-29
漏洞描述
PortlandLabs Concrete5是美国PortlandLabs公司的一套开源内容管理系统(CMS)。 PortlandLabs Concrete5 8.5.3之前版本中存在代码问题漏洞。攻击者可利用该漏洞上传任意文件,执行任意PHP代码。
解决建议
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/concrete5/concrete5/pull/8713/commits/1873c237a2083e7c8fe7166013661479bd052c6d
参考链接
https://github.com/concrete5/concrete5/pull/8713
https://github.com/concrete5/concrete5/releases/tag/8.5.3
https://herolab.usd.de/security-advisories/
https://herolab.usd.de/security-advisories/usd-2020-0041/
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 concrete5 concrete5 * Up to
(excluding)
8.5.3
阿里云评分 3.3
  • 攻击路径 远程
  • 攻击复杂度 复杂
  • 权限要求 无需权限
  • 影响范围 有限影响
  • EXP成熟度 未验证
  • 补丁情况 官方补丁
  • 数据保密性 数据泄露
  • 数据完整性 无影响
  • 服务器危害 无影响
  • 全网数量 N/A
CWE-ID 漏洞类型 CWE-434 危险类型文件的不加限制上传