Invision Community IPS Community Suite antes de 4.5.4.2 permite la inyección de SQL a través de la API de REST de descargas (el parámetro sortDir en una acción sortBy = popular para el método GETindex () en applications / downloads / api / files.php).
Las versiones 4.5.4 y anteriores de IPS Community Suite sufren una vulnerabilidad de inyección SQL remota en la API de REST de descargas.
Notas del registro PS Community Suite 4.5.4.2 lanzado el 01/05/2021
Esta es una versión de seguridad y recomendamos a todos los clientes que actualicen lo antes posible.
Cambios clave
Esta es una versión de mantenimiento para corregir errores.
Información Adicional
Seguridad
Corrige una vulnerabilidad XSS al citar publicaciones y comentarios.
Esta versión también contiene el parche de 4.5.4 que resuelve un problema de seguridad con la API REST de descargas
Núcleo
Se solucionó un problema al mover íconos y logotipos a un nuevo controlador de almacenamiento cuando una o más de las imágenes estaban rotas.
Se solucionó un problema al iniciar sesión con LinkedIn.
Referencias:
http://packetstormsecurity.com/files/160830/IPS-Community-Suite-4.5.4-SQL-Injection.html
https://invisioncommunity.com/release-notes/
Gracias por visitar este sitio, espero que te haya gustado y vuelvas proximamente, compartela en las redes sociales, gracias
Fecha actualización el 2021-01-09. Fecha publicación el 2021-01-09. Categoría: vulnerabilidad Autor: Oscar olg Mapa del sitio Fuente: NIST CVE-2020-8281