В givanz Vvveb до версии 1.0.5 обнаружена уязвимость, классифицированная как критическая. Эта уязвимость затрагивает неизвестный код файла …
В givanz Vvveb до версии 1.0.5 обнаружена уязвимость, классифицированная как критическая. Эта уязвимость затрагивает неизвестный код файла /vadmin123/?module=editor/editor компонента Drag-and-Drop Editor. Манипуляция аргументом url приводит к подделке запросов на стороне сервера (SSRF). Атака может быть инициирована удаленно. Эксплойт был раскрыт публично и может быть использован. Обновление до версии 1.0.6 позволяет устранить эту проблему. Патч идентифицирован как f684f3e374d04db715730fc4796e102f5ebcacb2 [1]. Источники: - [1] https://hkohi.ca/vulnerability/9 - [2] https://vuldb.com/?id.318646 - [3] https://vuldb.com/?ctiid.318646 - [4] https://vuldb.com/?submit.624973 - [5] https://github.com/givanz/Vvveb/commit/f684f3e374d04db715730fc4796e102f5ebcacb2
Веб-сервер получает URL или аналогичный запрос от вышестоящего компонента и извлекает содержимое по этому URL, однако не обеспечивает в достаточной мере, что запрос направляется к ожидаемому адресату.
https://cwe.mitre.org/data/definitions/918.html →Открыть в коллекции CWE →Нет описания в исходных данных.
https://capec.mitre.org/data/definitions/664.html →Открыть в коллекции CAPEC →