octobercms in a CMS platform based on the Laravel PHP Framework. In affected versions of the october/system package an attacker can request an account password reset and then gain access to the account using a specially crafted request. The issue has been patched in Build 472 and v1.1.5.
oryginał ENCVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:NOctobercms October
APPOctobercms1.0.4711.1.1 – 1.1.5 (bez)
CISA KEV — szczegółyi
- Dostawcai
- October CMS
- Produkti
- October CMS
- Data dodania do KEVi
- 18 stycznia 2022
- Termin remediation (USA)i
- 1 lutego 2022(po terminie)
Zastosuj aktualizacje zgodnie z instrukcjami dostawcy.
▸ Pokaż oryginał (EN)
Apply updates per vendor instructions.
W zaatakowanych wersjach pakietu october/system atakujący może zażądać resetowania hasła do konta, a następnie uzyskać dostęp do konta za pomocą specjalnie przygotowanego żądania.
▸ Pokaż oryginał (EN)
In affected versions of the october/system package an attacker can request an account password reset and then gain access to the account using a specially crafted request.
Powiązane podatności
October CMS — ucieczka z piaskownicy Twig i wykonanie arbitralnego PHP
An issue was discovered in October through build 471. It reactivates an old session ID (which had been invalid...
October CMS build 412 is vulnerable to file path modification in asset move functionality resulting in creatin...
October CMS build 412 is vulnerable to Apache configuration modification via file upload functionality resulti...
October CMS build 412 is vulnerable to PHP code execution in the asset manager functionality resulting in site...