Vulnerabilidad en October (CVE-2023-44381)
Severidad:
MEDIA
Type:
CWE-94
Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
01/12/2023
Última modificación:
06/12/2023
Descripción
October es Content Management System (CMS) y una plataforma web para ayudar con el flujo de trabajo de desarrollo. Un usuario backend autenticado con los permisos `editor.cms_pages`, `editor.cms_layouts` o `editor.cms_partials` a quien normalmente no se le permitiría proporcionar código PHP para que lo ejecute el CMS debido a que `cms.safe_mode` está habilitado puede manipular una solicitud especial para incluir código PHP en la plantilla CMS. Este problema se solucionó en la versión 3.4.15.
Impacto
Puntuación base 3.x
4.90
Severidad 3.x
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:octobercms:october:*:*:*:*:*:*:*:* | 3.0.0 (incluyendo) | 3.4.15 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página