Vulnerabilidad en una página web en el componente Soy Inquiry de SOY CMS (CVE-2020-15182)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-22
Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
17/09/2020
Última modificación:
23/09/2020
Descripción
El componente SOY Inquiry de SOY CMS está afectado por una vulnerabilidad de tipo Cross-site Request Forgery (CSRF) y una Ejecución de Código Remota (RCE). La vulnerabilidad afecta a las versiones 2.0.0.3 y anteriores de SOY Inquiry. Esto permite a atacantes remotos forzar al administrador a editar archivos una vez que el administrador carga una página web especialmente diseñada. Un administrador debe iniciar sesión para que la explotación sea posible. Este problema es corregido en SOY Inquiry versión 2.0.0.4 y se incluye en SOY CMS versión 3.0.2.328
Impacto
Puntuación base 3.x
9.60
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:soy_cms_project:soy_cms:*:*:*:*:*:*:*:* | 3.0.2.328 (excluyendo) | |
| cpe:2.3:a:soy_inquiry_project:soy_inquiry:*:*:*:*:*:*:*:* | 2.0.0.4 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página