Vulnerabilità: CVE-2020-12255

rConfig 3.9.4 è vulnerabile a esecuzione di codice remoto a causa di convalida errata nella funzionalità di upload di file. vendor.crud.php accetta un caricamento di file controllando tipo di contenuto senza considerare l’estensione del file e l’intestazione. Così, un utente malintenzionato può sfruttare questa caricando un file .php per vendor.php che contiene il codice PHP arbitrario e cambiando il tipo di contenuto di immagine / GIF.


https://gist.github.com/farid007/9f6ad063645d5b1550298c8b9ae953ff
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-12255


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi