16 Mar. 20 CVE
Titre
[CVE-2019-20453] vulnerabilité PHP object injection authentifiée sur Pydio Core
Risque
Pris de contrôle à distance
Systèmes affectés
Pydio Core / Pydio Enterprise – 8.2.3
Description
Un problème a été détecté sur Pydio Core 8.2.3 and Pydio Enterprise
8.2.3 et les versions antérieures. Une injection de commande est présente dans la page plugins/uploader.http/HttpDownload.php.
Un utilisateur authentifié avec des privilèges de base peut faire une injection de code et procéder à une exécution de code à distance.
Solution
Mise à jour en version Pydio Core 8.2.4 and Pydio Enterprise
8.2.4.
Historique
2019-08-08 : Découverte de la vulnérabilité
2019-08-09 : Communication à Pydio de la vulnérabilité
2019-12-16 : Mise à disposition du correctif
2020-03-16 : Publication de la vulnérabilité par Certilience
Références
Crédits
Sammy FORGIT – Certilience (https://www.certilience.fr)