Fecha de publicación: julio 13, 2021 10:08 pm Nivel de importancia: Alta
Sistemas Afectados
- PHPlist 3.5.1
Descripción
Dado que el aplicativo no verifica las extensiones zip, un atacante puede insertar código malicioso y complementos con las extensiones PHP, phtml, php7 directamente en el directorio de complemento lo que permitiría la ejecución de código malicioso.
Referencia
- https://drive.google.com/file/d/1znDU4fDKA_seg16mJLLtgaaFfvmf-mS6/view [PoC]
- CVE-2020-22249
Solución
Hasta el momento no se ha identificado una solución inmediata a esta vulnerabilidad por lo que se recomienda la ejecución con privilegios mínimos de estas herramientas. [Pendientes a la liberación de una solución por parte del fabricante]