CVE-2021-47667

CRÍTIC (10,0)

CVSS3: 0,0

Una vulnerabilitat d’injecció d’ordres del sistema operatiu a lib/NSSDropoff.php a ZendTo, de la versió 5.24-3 fins a la 6.x abans de 6.10-7, permet als atacants remots no autenticats executar ordres arbitràries mitjançant metacaràcters de l’intèrpret d’ordres al paràmetre tmp_name quan deixeu un fitxer mitjançant una sol·licitud POST /dropoff.

Sistemes Afectats

• Zend ZendTo – 5.24-3

Remediació
No hi ha cap recurs disponible a partir del 5 d’abril del 2025.

Referències

• https://projectblack.io/blog/zendto-nday-vulnerabilities/