CVE-2019-14767

Versões do DIMO YellowBox CRM anteriores à 6.3.4

A vulnerabilidade permite que um usuário não autenticado baixe arquivos arbitrários do servidor devido a vulnerabilidades de traversal de caminho nos endpoints images/Apparence e servletrecuperefichier. Os parâmetros dossier e document são vulneráveis a ataques de traversal, permitindo o acesso a arquivos fora do diretório pretendido.

Para versões anteriores à 6.3.4, atualize para a versão 6.3.4 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso aos endpoints images/Apparence e servletrecuperefichier para impedir que usuários não autenticados explorem a vulnerabilidade de traversal de caminho. Evite usar os parâmetros dossier e document nesses endpoints até que o problema seja resolvido.