CVE-2021-23394

Опубликовано: 13 июн. 2021

Источник: nvd

CVSS3: 8.1

CVSS3: 9.8

CVSS2: 6.8

EPSS Высокий

Описание

The package studio-42/elfinder before 2.1.58 are vulnerable to Remote Code Execution (RCE) via execution of PHP code in a .phar file. NOTE: This only applies if the server parses .phar files as PHP.

Ссылки

https://blog.sonarsource.com/elfinder-case-study-of-web-file-manager-vulnerabilities/
Exploit
Third Party Advisory
https://github.com/Studio-42/elFinder
Third Party Advisory
https://github.com/Studio-42/elFinder/commit/75ea92decc16a5daf7f618f85dc621d1b534b5e1
Patch
Third Party Advisory
https://github.com/Studio-42/elFinder/issues/3295
Exploit
Issue Tracking
Patch
Third Party Advisory
https://snyk.io/vuln/SNYK-PHP-STUDIO42ELFINDER-1290554
Third Party Advisory
https://blog.sonarsource.com/elfinder-case-study-of-web-file-manager-vulnerabilities/
Exploit
Third Party Advisory
https://github.com/Studio-42/elFinder
Third Party Advisory
https://github.com/Studio-42/elFinder/commit/75ea92decc16a5daf7f618f85dc621d1b534b5e1
Patch
Third Party Advisory
https://github.com/Studio-42/elFinder/issues/3295
Exploit
Issue Tracking
Patch
Third Party Advisory
https://snyk.io/vuln/SNYK-PHP-STUDIO42ELFINDER-1290554
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:std42:elfinder:*:*:*:*:*:*:*:*

Версия до 2.1.58 (исключая)

EPSS

Процентиль: 99%

0.77529

Высокий

8.1 High

CVSS3

9.8 Critical

CVSS3

6.8 Medium

CVSS2

Дефекты

CWE-434

Связанные уязвимости

GHSA-qm58-cvvm-c5qr

CVSS3: 8.1

github

больше 4 лет назад

elFinder unsafe upload filtering leading to remote code execution

BDU:2021-03302

CVSS3: 8.1

fstec

больше 4 лет назад

Уязвимость файлового менеджера elFinder, связанная с некорректной реализацией механизма аутентификации, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 99%

0.77529

Высокий

8.1 High

CVSS3

9.8 Critical

CVSS3

6.8 Medium

CVSS2

Дефекты

CWE-434