PT-2020-14078 · Tendenci · Tendenci
Misakikata
·
Publicado
2020-06-21
·
Atualizado
2026-02-17
·
CVE-2020-14942
CVSS v4.0
9.3
Crítica
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Tendenci versão 12.0.10
Descrição
O problema diz respeito à deserialização irrestrita no arquivo
staff.py, localizado em apps/helpdesk/views/. Isso poderia potencialmente permitir atividades maliciosas devido à falta de restrições sobre o que pode ser deserializado. Não há informações sobre o número estimado de dispositivos potencialmente afetados ou incidentes reais em que essa vulnerabilidade tenha sido explorada.Recomendações
Para a versão 12.0.10 do Tendenci, considere restringir ou desativar a funcionalidade de deserialização no arquivo
staff.py até que uma correção adequada esteja disponível. Como solução alternativa temporária, limitar o acesso ao módulo apps/helpdesk/views/staff.py pode ajudar a minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Code Injection
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Tendenci