ГлавнаяБаза уязвимостей БДУ → BDU:2021-04645
6.5высокая

BDU:2021-04645 (CVE-2020-36388)

Уязвимость веб-системы отслеживания связей и управления взаимодействием CiviCRM, связанная с отсутствием ограничений на загрузку файлов, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Опубликовано: 2021-09-20
Описание

Уязвимость веб-системы отслеживания связей и управления взаимодействием CiviCRM связана с возможностью загружать и выполнять PHAR архивы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Debian GNU/Linux (8)Debian GNU/Linux (10)CiviCRM (до 5.21.3)CiviCRM (от 5.22.0 до 5.24.3)
Способ устранения

Для CiviCRM:
использование рекомендаций производителя: https://civicrm.org/advisory/civi-sa-2020-03

Для ОС Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2020-36388

Оценка CVSS
Балл6.5 — высокая опасность
Источники и патчи
https://civicrm.org/advisory/civi-sa-2020-03https://nvd.nist.gov/vuln/detail/CVE-2020-36388https://security-tracker.debian.org/tracker/CVE-2020-36388https://blog.sonarsource.com/civicrm-code-execution-vulnerability-chain-explained/
Проверьте безопасность своего сайта и почты → Полная проверка домена