CVE-2021-36471

ALT: (7,3)

CVSS3: 6,4

AdminLTE podria permetre a un atacant remot travessar directoris al sistema. Això vindria causat per una validació incorrecta de les peticions d’usuari. L’atacant podria enviar una sol·licitud d’URL especialment dissenyada als scripts /admin/index2.html i /admin/index3.html que continguin seqüencies “dot dot” (/../) per visualitzar arxius arbitraris al sistema amb privilegis elevats.

Sistemes Afectats

–

Remediació
Actualitzeu a la darrera versió d’AdminLTE (3.2.0 o posterior), disponible al repositori GIT d’AdminLTE. Podeu veure l’apartat de les referències, en el cas que necesiteu més informació.

Referències

• https://gist.github.com/cybersaki/31ffe679a5552c1047164e3a5b01c2fd
• https://adminlte.io/
• https://github.com/ColorlibHQ/AdminLTE/
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-36471