Vulnerabilidad en el método POST en la API PowerCMS XMLRPC (CVE-2022-33941)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-78
Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
08/09/2022
Última modificación:
08/08/2023
Descripción
La API PowerCMS XMLRPC proporcionada por Alfasado Inc. presenta una vulnerabilidad de inyección de comandos. El envío de un mensaje especialmente diseñado mediante el método POST a la API XMLRPC de PowerCMS puede permitir la ejecución arbitraria de secuencias de comandos Perl y un comando arbitrario del Sistema Operativo puede ser ejecutado por medio de él. Los productos/versiones afectados son los siguientes: PowerCMS versiones 6.021 y anteriores (PowerCMS 6 Series), PowerCMS 5.21 y anteriores (PowerCMS 5 Series) y PowerCMS versiones 4.51 y anteriores (PowerCMS 4 Series). Tenga en cuenta que todas las versiones de PowerCMS versiones 3 Series y anteriores que no son compatibles (fin de vida útil, EOL) también están afectadas por esta vulnerabilidad
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:alfasado:powercms:*:*:*:*:*:*:*:* | 4.51 (incluyendo) | |
| cpe:2.3:a:alfasado:powercms:*:*:*:*:*:*:*:* | 5.0 (incluyendo) | 5.21 (incluyendo) |
| cpe:2.3:a:alfasado:powercms:*:*:*:*:*:*:*:* | 6.0 (incluyendo) | 6.021 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página