dotCMS ha revelado una vulnerabilidad de severidad crítica, en dicho sistema de gestión de contenido de código abierto escrito en Java, que permitiría a un atacante la ejecución remota de código (RCE).
La vulnerabilidad identificada como CVE-2022-26352, de severidad crítica y sin puntuación asignada aún. Esta vulnerabilidad se debe a una falla de desbordamiento de búfer y al reemplazo de archivos ya existentes en el sistema con una webshell. Un atacante remoto podría aprovechar esta vulnerabilidad para realizar escalamiento de privilegios.
Las versiones afectadas del producto son:
- 22.03
- 5.3.8.10
- 21.06.7.
Recomendamos instalar las actualizaciones correspondientes que serán provistas por dotCMS en el siguiente enlace:
Referencias:
- https://www.dotcms.com/security/SI-62
- https://thehackernews.com/2022/05/critical-rce-bug-reported-in-dotcms.html
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-26352