16 Mar. 20 CVE

Vulnérabilité PHP object injection
authentifiée sur Pydio Core

découverte par Certilience

Une vulnérabilité dans la page HttpDownload.php de Pydio Core dans les versions précédent 8.2.4, découverte par notre auditeur Sammy Forgit, vient d’être corrigée et créditée à Certilience.

Titre

[CVE-2019-20453] vulnerabilité PHP object injection authentifiée sur Pydio Core

Risque

Pris de contrôle à distance

Systèmes affectés

Pydio Core / Pydio Enterprise – 8.2.3

Description

Un problème a été détecté sur Pydio Core 8.2.3 and Pydio Enterprise
8.2.3 et les versions antérieures. Une injection de commande est présente dans la page plugins/uploader.http/HttpDownload.php.

Un utilisateur authentifié avec des privilèges de base peut faire une injection de code et procéder à une exécution de code à distance.

Solution

Mise à jour en version Pydio Core 8.2.4 and Pydio Enterprise
8.2.4.

Historique

2019-08-08 : Découverte de la vulnérabilité

2019-08-09 : Communication à Pydio de la vulnérabilité

2019-12-16 : Mise à disposition du correctif

2020-03-16 : Publication de la vulnérabilité par Certilience

Crédits

Sammy FORGIT – Certilience (https://www.certilience.fr)

Mots-clés :