Mehrere Schwachstellen in flatCore CMS

Project Description

flatCore CMS leidet unter mehreren Sicherheitslücken, einschließlich Stored Cross Site Scripting und Arbitrary File Upload. Über das Bearbeitungsfenster von flatCore können authentifizierte Benutzer schädliche clientseitige Skripts einfügen. Darüber hinaus können beliebige Dateien wie Web-Shells auf den Server hochgeladen werden, da die Überprüfung des Hochladens von Dateien unzureichend ist, was zu einer vollständigen Systemkompromitterung führen könnte.

Zum ausführlichen Security-Advisory (Englisch)

Security Research: Farhan Rahman, Azrul Ikhwan Zulkifli / @2020

Interesse an einer Zusammenarbeit mit den Experten von SEC Consult? Senden Sie uns Ihre Bewerbung. Möchten Sie Ihre eigene Cyber-Sicherheit mit den Experten von SEC Consult verbessern? Kontaktieren Sie unsere lokalen Büros.

Project Details

  • TitleMultiple Vulnerabilities in flatCore CMS
  • Product<=1.5.5
  • Vulnerable version1.5.7
  • Fixed versionCVE-2020-17451, CVE-2020-17452
  • CVE numberHigh
  • Impacthttps://flatcore.org/
  • Homepage2020-03-28
  • FoundFarhan Rahman, Azrul Ikhwan Zulkifli | SEC Consult Vulnerability Lab (Office Malaysia)