Vulnerabilidad en Akeneo PIM (CVE-2022-46157)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-94
Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
09/12/2022
Última modificación:
07/11/2023
Descripción
Akeneo PIM es un software Product Information Management (PIM) de código abierto. Las versiones de Akeneo PIM Community Edition anteriores a v5.0.119 y v6.0.53 permiten a usuarios remotos autenticados ejecutar código PHP arbitrario en el servidor cargando una imagen manipulada. Akeneo PIM Community Edition después de las versiones antes mencionadas proporciona un archivo de configuración del servidor HTTP Apache parcheado, para la configuración de Docker y en una muestra de documentación, para corregir esta vulnerabilidad. Los usuarios de Community Edition deben cambiar la configuración de su servidor Apache HTTP en consecuencia para estar protegidos. El parche para los clientes de los servicios PIM de Akeneo basados en la nube se aplicó desde el 30 de octubre de 2022. Se recomienda a los usuarios que actualicen. Los usuarios que no puedan actualizar pueden reemplazar cualquier referencia a `` en sus configuraciones httpd de Apache con: ``.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:akeneo:product_information_management:*:*:*:*:community:*:*:* | 5.0.119 (excluyendo) | |
| cpe:2.3:a:akeneo:product_information_management:*:*:*:*:community:*:*:* | 6.0.0 (incluyendo) | 6.0.53 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página