2021-1386: Flysystem: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2021-06-28 16:42)

Neues Advisory

Betroffene Software

Entwicklung
Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer, der den Datei- oder Pfadnamen einer in einer PHP-Anwendung, die auf Flysystem zurückgreift, hochgeladenen Datei bestimmen kann, kann die Schwachstelle ausnutzen, um beliebigen Programmcode zur Ausführung zu bringen. Ein erfolgreicher Angriff erfordert verschiedene Vorbedingungen, die in einem Sicherheitshinweis genauer erläutert werden.

Der Hersteller stellt Flysystem 1.1.4 und 2.1.1 als Sicherheitsupdates zur Verfügung.

Für Fedora 33 und 34 stehen Sicherheitsupdates für 'php-league-flysystem' auf Version 1.1.4 im Status 'testing' zur Verfügung.

Schwachstellen:

CVE-2021-32708

Schwachstelle in Flysystem ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.