CVE-2022-4748

MITJÀ: (6,5)

CVSS3: 5,7

FlatPress podria permetre a un atacant remot travessar directoris del sistema causat per una validació incorrecta de la sol·licitud subministrada per l’usuari. Un atacant podria enviar una sol·licitud URL especialment dissenyada al script fp-plugins/mediamanager/panels/panell.mediamanager.file.php que contingui seqüències “dot dot” (/../) per eliminar arxius arbitraris al sistema.

Sistemes Afectats

• Flatpress Flatpress 1.2.1

Remediació
Consulteu el repositori GIT de FlatPress per obtenir informació sobre actualitzacions o solucions suggerides.

Referències

• https://github.com/flatpressblog/flatpress/issues/179
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-4748