Pierre Lacombe

Pesquisador deElysium Security
#8633de 53,633
31.8CVSS total
Vulnerabilidades · 4
Média
1
Alta
3
PT-2020-9600
8.8
2020-01-21
Dimo · Dimo Yellowbox Crm · CVE-2019-14765
**Nome do software vulnerável e versões afetadas** Versões do DIMO YellowBox CRM anteriores à 6.3.4 **Descrição** O problema está relacionado a um controle de acesso incorreto na função `AfficheExplorateurParam()`, permitindo que um usuário autenticado padrão acesse controladores administrativos. **Recomendações** Para versões anteriores à 6.3.4, atualize para a versão 6.3.4 ou posterior para resolver o problema.
PT-2020-9601
6.5
2020-01-21
Dimo · Dimo Yellowbox Crm · CVE-2019-14766
**Nome do software vulnerável e versões afetadas** Versões do DIMO YellowBox CRM anteriores à 6.3.4 **Descrição** A vulnerabilidade permite que um usuário autenticado padrão navegue pelo sistema de arquivos do servidor devido a uma vulnerabilidade de traversal de caminho no navegador de arquivos. **Recomendações** Para versões anteriores à 6.3.4, atualize para a versão 6.3.4 ou posterior para resolver o problema.
PT-2020-9602
7.5
2020-01-21
Dimo · Dimo Yellowbox Crm · CVE-2019-14767
**Nome do software vulnerável e versões afetadas** Versões do DIMO YellowBox CRM anteriores à 6.3.4 **Descrição** A vulnerabilidade permite que um usuário não autenticado baixe arquivos arbitrários do servidor devido a vulnerabilidades de traversal de caminho nos endpoints images/Apparence e servletrecuperefichier. Os parâmetros `dossier` e `document` são vulneráveis a ataques de traversal, permitindo o acesso a arquivos fora do diretório pretendido. **Recomendações** Para versões anteriores à 6.3.4, atualize para a versão 6.3.4 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso aos endpoints images/Apparence e servletrecuperefichier para impedir que usuários não autenticados explorem a vulnerabilidade de traversal de caminho. Evite usar os parâmetros `dossier` e `document` nesses endpoints até que o problema seja resolvido.
PT-2020-9603
9.0
2020-01-21
Apache · Apache Tomcat · CVE-2019-14768
**Nome do software vulnerável e versões afetadas** Versões do DIMO YellowBox CRM anteriores à 6.3.4 **Descrição** O problema diz respeito a uma falha de upload arbitrário de arquivos no navegador de arquivos, permitindo que um usuário autenticado padrão faça o upload de um novo arquivo WAR da WebApp para o servidor Tomcat por meio de Path Traversal. Isso possibilita a execução remota de código com privilégios de SISTEMA. **Recomendações** Para versões anteriores à 6.3.4, atualize para a versão 6.3.4 ou posterior para resolver o problema.