PT-2020-16492 · Sentrifugo · Sentrifugo
Publicado
2020-11-12
·
Atualizado
2020-11-17
·
CVE-2020-26804
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Sentrifugo versão 3.2
Descrição
A vulnerabilidade afeta a funcionalidade “Carregar anexo” na guia “Organização -> Anúncios”, onde os usuários podem compartilhar anúncios e carregar anexos. Essa funcionalidade está sujeita a uma vulnerabilidade de “Carregamento irrestrito de arquivos”, permitindo que um invasor carregue arquivos maliciosos e, potencialmente, assuma o controle do servidor.
Recomendações
Para o Sentrifugo versão 3.2, considere desativar a funcionalidade “Carregar anexo” até que uma correção esteja disponível para impedir o carregamento de arquivos maliciosos. Restrinja o acesso à guia “Organização -> Anúncios” para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Sentrifugo