PT-2020-9603 · Apache+1 · Apache Tomcat+1
Pierre Lacombe
·
Publicado
2020-01-21
·
Atualizado
2021-07-21
·
CVE-2019-14768
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do DIMO YellowBox CRM anteriores à 6.3.4
Descrição
O problema diz respeito a uma falha de upload arbitrário de arquivos no navegador de arquivos, permitindo que um usuário autenticado padrão faça o upload de um novo arquivo WAR da WebApp para o servidor Tomcat por meio de Path Traversal. Isso possibilita a execução remota de código com privilégios de SISTEMA.
Recomendações
Para versões anteriores à 6.3.4, atualize para a versão 6.3.4 ou posterior para resolver o problema.
Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Dimo Yellowbox Crm
Apache Tomcat