CVE-2019-15954
CVE-2019-15954
Vexday Risk Score
60Atenção
Decisão SSVC (CISA)
Attend
PoC disponível → acompanhar de perto
Maturidade do exploit
Exploit funcional
Exploit automatizável disponível (Nuclei/Metasploit).
CVSS —EPSS 79.2%KEV nãoPoC públicaNuclei —Metasploit simPatch —
Ciclo de vida
30 ago 2019Exploit Metasploit disponível
05 set 2019Publicada no NVD
22 out 2019PoC pública
Velocidade de armamento
46 diasaté o primeiro PoC
Recomendação: Planejar correção próxima — já existe PoC pública.
An issue was discovered in Total.js CMS 12.0.0. An authenticated user with the widgets privilege can gain achieve Remote Command Execution (RCE) on the remote server by creating a malicious widget with a special tag containing JavaScript code that will be evaluated server side. In the process of evaluating the tag by the back-end, it is possible to escape the sandbox object by using the following payload: <script total>global.process.mainModule.require(child_process).exec(RCE);</script>
Produtos afetados
n/a · n/aPoCs públicas encontradas — 2
cve_referencepacketstormsecurity.com/files/154924/Total.js-CMS-12-Widget-JavaScript-Code-Injection.htmlnão verificadoexploitdbwww.exploit-db.com/exploits/47531não verificado⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.