PT-2018-14399 · Lemon · Lemon

Publicado

2018-10-15

Atualizado

2019-01-11

CVE-2018-18315

CVSS v3.1

7.5

Alta

Vetor

AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

Name of the Vulnerable Software and Affected Versions lemon version 1.9.0

Description The issue allows attackers to upload arbitrary files due to insufficient validation in the copyMultipartFileToFile method within CdnUtils. Specifically, it only checks for a ../ substring and does not validate the file type and spaceName parameter.

Recommendations For lemon version 1.9.0, consider validating the file type and spaceName parameter in the copyMultipartFileToFile method to prevent arbitrary file uploads. As a temporary workaround, restrict access to the CdnController to minimize the risk of exploitation.

Correção

Unrestricted File Upload

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-434

Identificadores relacionados

CVE-2018-18315

Produtos afetados

Lemon

PT-2018-14399 · Lemon · Lemon

CVE-2018-18315

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 3