Robin Descamps

Pesquisador deNTT Belgium
#13825de 53,635
19.5CVSS total
Vulnerabilidades · 3
Média
3
PT-2021-23277
6.5
2021-09-30
Pydio · Pydio Cells · CVE-2021-41323
**Nome do software vulnerável e versões afetadas** Pydio Cells versão 2.2.9 **Descrição** A vulnerabilidade permite que usuários remotos autenticados sobrescrevam arquivos pessoais ou arquivos do Cells pertencentes a qualquer usuário por meio do parâmetro `format` no recurso Compress. **Recomendações** Para o Pydio Cells versão 2.2.9, considere restringir o acesso ao recurso Compress até que uma correção esteja disponível. Como solução alternativa temporária, evite usar o parâmetro `format` no recurso Compress para minimizar o risco de exploração.
PT-2021-23278
6.5
2021-09-30
Pydio · Pydio Cells · CVE-2021-41324
**Nome do software vulnerável e versões afetadas** Pydio Cells versão 2.2.9 **Descrição** A vulnerabilidade permite que usuários remotos autenticados enumerem arquivos pessoais ou arquivos do Cells pertencentes a qualquer usuário. Isso é possível por meio de traversal de diretório nos recursos Copiar, Mover e Excluir. O parâmetro `nodes` é usado para Copiar e Mover, enquanto o parâmetro `Path` é usado para Excluir. **Recomendações** Para o Pydio Cells versão 2.2.9, considere desativar os recursos Copiar, Mover e Excluir até que uma correção esteja disponível para impedir a exploração. Restrinja o acesso aos parâmetros `nodes` e `Path` nos recursos afetados para minimizar o risco de enumeração de arquivos.
PT-2021-23279
6.5
2021-09-30
Pydio · Pydio Cells · CVE-2021-41325
**Nome do software vulnerável e versões afetadas** Pydio Cells versão 2.2.9 **Descrição** A vulnerabilidade diz respeito a uma falha no controle de acesso para a criação de usuários, permitindo que usuários anônimos remotos criem usuários padrão por meio do parâmetro `profile`. Além disso, esses usuários podem receber várias permissões de administrador por meio do parâmetro `Roles`. **Recomendações** Para o Pydio Cells versão 2.2.9, considere desativar o recurso de criação de usuários até que uma correção esteja disponível para evitar a exploração. Restrinja o acesso aos parâmetros `profile` e `Roles` para minimizar o risco de criação não autorizada de usuários e concessão de permissões. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.