flatCore CMS leidet unter mehreren Sicherheitslücken, einschließlich Stored Cross Site Scripting und Arbitrary File Upload. Über das Bearbeitungsfenster von flatCore können authentifizierte Benutzer schädliche clientseitige Skripts einfügen. Darüber hinaus können beliebige Dateien wie Web-Shells auf den Server hochgeladen werden, da die Überprüfung des Hochladens von Dateien unzureichend ist, was zu einer vollständigen Systemkompromitterung führen könnte.
Zum ausführlichen Security-Advisory (Englisch)
Security Research: Farhan Rahman, Azrul Ikhwan Zulkifli / @2020
Interesse an einer Zusammenarbeit mit den Experten von SEC Consult? Senden Sie uns Ihre Bewerbung.
Möchten Sie Ihre eigene Cyber-Sicherheit mit den Experten von SEC Consult verbessern? Kontaktieren Sie unsere lokalen Büros.