CVE-2020-28337
CVE-2020-28337
Vexday Risk Score
28Bajo
Decisión SSVC (CISA)
Attend
PoC disponible → seguir de cerca
Madurez del exploit
Prueba de concepto
Existe prueba de concepto pública, pero aún no automatizada.
CVSS —EPSS 16.6%KEV nãoPoC públicaNuclei —Metasploit —Patch —
Ciclo de vida
15 feb 2021Publicada en NVD
10 may 2021PoC pública
Velocidad de armamento
83 díashasta el primer PoC
Recomendación: Planificar corrección próxima — ya existe PoC pública.
A directory traversal issue in the Utils/Unzip module in Microweber through 1.1.20 allows an authenticated attacker to gain remote code execution via the backup restore feature. To exploit the vulnerability, an attacker must have the credentials of an administrative user, upload a maliciously constructed ZIP file with file paths including relative paths (i.e., ../../), move this file into the backup directory, and execute a restore on this file.
Productos afectados
n/a · n/aPoCs públicas encontradas — 2
cve_referencepacketstormsecurity.com/files/162514/Microweber-CMS-1.1.20-Remote-Code-Execution.htmlno verificadoexploitdbwww.exploit-db.com/exploits/49856no verificado⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.