Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en vectores no especificados en la API XMLRPC de PowerCMS y PowerCMS 2 Series (CVE-2021-20850)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-78 Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
24/11/2021
Última modificación:
29/11/2021

Descripción

La API XMLRPC de PowerCMS versiones 5.19 y anteriores, PowerCMS versiones 4.49 y anteriores, PowerCMS versiones 3.295 y anteriores, y PowerCMS 2 Series (End-of-Life, EOL) permite a un atacante remoto ejecutar un comando arbitrario del sistema operativo por medio de vectores no especificados

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:alfasado:powercms:*:*:*:*:*:*:*:* 2.0 (incluyendo) 2.058 (incluyendo)
cpe:2.3:a:alfasado:powercms:*:*:*:*:*:*:*:* 3.01 (incluyendo) 3.295 (incluyendo)
cpe:2.3:a:alfasado:powercms:*:*:*:*:*:*:*:* 4.0 (incluyendo) 4.49 (incluyendo)
cpe:2.3:a:alfasado:powercms:*:*:*:*:*:*:*:* 5.0 (incluyendo) 5.19 (incluyendo)