PT-2020-13345 · Manolo · Gwtupload
Michał Dardas
·
Publicado
2020-05-17
·
Atualizado
2020-05-19
·
CVE-2020-13128
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Manolo GWTUpload versão 1.0.3
Descrição
Foi detectada uma falha no arquivo server/UploadServlet.java, que é o servlet responsável pelo gerenciamento do upload de arquivos. Ele aceita um parâmetro
delay que faz com que uma thread entre em estado de espera. Isso pode ser explorado para fazer com que todas as threads do servidor entrem em estado de espera, levando a uma negação de serviço.Recomendações
Para o Manolo GWTUpload versão 1.0.3, considere desativar o parâmetro
delay no UploadServlet.java para evitar abusos. Como solução temporária, restrinja o acesso ao UploadServlet.java para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.Exploit
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Gwtupload