CVE-2020-28337
CVE-2020-28337
Vexday Risk Score
28Baixo
Decisão SSVC (CISA)
Attend
PoC disponível → acompanhar de perto
Maturidade do exploit
Prova de conceito
Existe prova de conceito pública, mas ainda não automatizada.
CVSS —EPSS 16.6%KEV nãoPoC públicaNuclei —Metasploit —Patch —
Ciclo de vida
15 fev 2021Publicada no NVD
10 mai 2021PoC pública
Velocidade de armamento
83 diasaté o primeiro PoC
Recomendação: Planejar correção próxima — já existe PoC pública.
A directory traversal issue in the Utils/Unzip module in Microweber through 1.1.20 allows an authenticated attacker to gain remote code execution via the backup restore feature. To exploit the vulnerability, an attacker must have the credentials of an administrative user, upload a maliciously constructed ZIP file with file paths including relative paths (i.e., ../../), move this file into the backup directory, and execute a restore on this file.
Produtos afetados
n/a · n/aPoCs públicas encontradas — 2
cve_referencepacketstormsecurity.com/files/162514/Microweber-CMS-1.1.20-Remote-Code-Execution.htmlnão verificadoexploitdbwww.exploit-db.com/exploits/49856não verificado⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.