Описание
In Expression Engine before 6.0.3, addonIcon in Addons/file/mod.file.php relies on the untrusted input value of input->get('file') instead of the fixed file names of icon.png and icon.svg.
Ссылки
- PatchThird Party Advisory
- Release NotesThird Party Advisory
- PatchThird Party Advisory
- Release NotesThird Party Advisory
Уязвимые конфигурации
Конфигурация 1Версия до 6.0.3 (исключая)
cpe:2.3:a:expressionengine:expressionengine:*:*:*:*:*:*:*:*
EPSS
Процентиль: 62%
0.00433
Низкий
9.8 Critical
CVSS3
7.5 High
CVSS2
Дефекты
CWE-20
Связанные уязвимости
github
больше 3 лет назад
In Expression Engine before 6.0.3, addonIcon in Addons/file/mod.file.php relies on the untrusted input value of input->get('file') instead of the fixed file names of icon.png and icon.svg.
CVSS3: 9.8
fstec
больше 4 лет назад
Уязвимость системы управления контентом Expression Engine, существует из-за недостаточной проверки входных данных, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
EPSS
Процентиль: 62%
0.00433
Низкий
9.8 Critical
CVSS3
7.5 High
CVSS2
Дефекты
CWE-20