Vulnérabilité PHP object injectionauthentifiée sur Pydio Core
découverte par Certilience
Une vulnérabilité dans la page RecycleBinManager.php de Pydio Core dans les versions précédent 8.2.4, découverte par notre auditeur Sammy Forgit, vient d’être corrigée et créditée à Certilience.
Titre
[CVE-2019-20452] vulnerabilité PHP object injection authentifiée sur Pydio Core
Risque
Pris de contrôle à distance
Systèmes affectés
Pydio Core / Pydio Enterprise – 8.2.3
Description
Un problème a été détecté sur Pydio Core 8.2.3 and Pydio Enterprise 8.2.3 et les versions antérieures. Une injection de commande est présente dans la page plugins/core.access/src/RecycleBinManager.php.
Un utilisateur authentifié avec des privilèges de base peut faire une injection de code et procéder à une exécution de code à distance.
Solution
Mise à jour en version Pydio Core 8.2.4 and Pydio Enterprise 8.2.4.
Historique
2019-08-08 : Découverte de la vulnérabilité
2019-08-09 : Communication à Pydio de la vulnérabilité
2019-12-16 : Mise à disposition du correctif
2020-03-16 : Publication de la vulnérabilité par Certilience