Mehrere Schwachstellen in flatcore CMS

Title

Multiple Vulnerabilities

Product

flatCore CMS

Vulnerable Version

<=1.5.5

Fixed Version

1.5.7

CVE Number

CVE-2020-17451, CVE-2020-17452

Impact

high

Found

03.27.2020

By

Farhan Rahman, Azrul Ikhwan Zulkifli | SEC Consult Vulnerability Lab (Office Malaysia)

flatCore CMS leidet unter mehreren Sicherheitslücken, einschließlich Stored Cross Site Scripting und Arbitrary File Upload. Über das Bearbeitungsfenster von flatCore können authentifizierte Benutzer schädliche clientseitige Skripts einfügen. Darüber hinaus können beliebige Dateien wie Web-Shells auf den Server hochgeladen werden, da die Überprüfung des Hochladens von Dateien unzureichend ist, was zu einer vollständigen Systemkompromitterung führen könnte.

Zum ausführlichen Security-Advisory (Englisch)

Security Research: Farhan Rahman, Azrul Ikhwan Zulkifli / @2020

 

Interesse an einer Zusammenarbeit mit den Experten von SEC Consult? Senden Sie uns Ihre Bewerbung.
Möchten Sie Ihre eigene Cyber-Sicherheit mit den Experten von SEC Consult verbessern? Kontaktieren Sie unsere lokalen Büros.