CVE-2019-15954
CVE-2019-15954
Vexday Risk Score
60Atención
Decisión SSVC (CISA)
Attend
PoC disponible → seguir de cerca
Madurez del exploit
Exploit funcional
Exploit automatizable disponible (Nuclei/Metasploit).
CVSS —EPSS 79.2%KEV nãoPoC públicaNuclei —Metasploit simPatch —
Ciclo de vida
30 ago 2019Exploit Metasploit disponible
05 sep 2019Publicada en NVD
22 oct 2019PoC pública
Velocidad de armamento
46 díashasta el primer PoC
Recomendación: Planificar corrección próxima — ya existe PoC pública.
An issue was discovered in Total.js CMS 12.0.0. An authenticated user with the widgets privilege can gain achieve Remote Command Execution (RCE) on the remote server by creating a malicious widget with a special tag containing JavaScript code that will be evaluated server side. In the process of evaluating the tag by the back-end, it is possible to escape the sandbox object by using the following payload: <script total>global.process.mainModule.require(child_process).exec(RCE);</script>
Productos afectados
n/a · n/aPoCs públicas encontradas — 2
cve_referencepacketstormsecurity.com/files/154924/Total.js-CMS-12-Widget-JavaScript-Code-Injection.htmlno verificadoexploitdbwww.exploit-db.com/exploits/47531no verificado⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.