PT-2020-19496 · Qdpm · Qdpm
Publicado
2020-01-21
·
Atualizado
2022-11-10
·
CVE-2020-7246
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
qdPM versões 9.1 e anteriores
Descrição
Existe uma falha de execução remota de código, permitindo que um invasor envie código PHP malicioso por meio da funcionalidade de foto de perfil. Isso é possível devido a uma vulnerabilidade de traversal de caminho no recurso de exclusão de fotos
users[‘photop preview’], que permite contornar a proteção do .htaccess.Recomendações
Para as versões 9.1 e anteriores do qdPM, como solução temporária, considere desativar o recurso de upload de foto de perfil até que uma correção esteja disponível. Restrinja o acesso ao recurso de exclusão de foto
users[‘photop preview’] para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.Exploit
Correção
RCE
Unrestricted File Upload
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Qdpm