Vulnerabilità: CVE-2020-9309

SilverStripe CMS attraverso 4.5 può essere suscettibile di esecuzione di script da contenuti di upload dannosi sotto estensioni di file consentiti (ad esempio di codice HTML in un file TXT). Quando questi file vengono memorizzati come file protetti o bozze, il rilevamento MIME può causare browser per eseguire il contenuto del file. Uploads memorizzati come protetti o progetti di file sono consentiti per impostazione predefinita per soli utenti autorizzati, ma può anche essere attivate attraverso la logica personalizzata così come moduli come SilverStripe / userforms. I siti che utilizzano il modulo silverstripe / mimevalidator precedentemente opzionale possibile configurare MIME whitelist piuttosto che whitelist di estensione, e quindi evitare questo problema. Siti sulla piattaforma web comune (CWP) utilizzano questo modulo per impostazione predefinita e non sono interessati.


https://www.silverstripe.org/download/security-releases/CVE-2020-9309
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9309


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi