PT-2021-10117 · Unknown · Xinhu Oa System
Publicado
2021-04-28
·
Atualizado
2021-05-05
·
CVE-2020-18019
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
**Nome do software vulnerável e versões afetadas:
Xinhu OA System versão 1.8.3
Descrição:
A vulnerabilidade permite que invasores remotos obtenham informações confidenciais ao injetar comandos arbitrários na variável
typeid da função createfolderAjax no componente mode worcAction.php. Isso permite que os invasores executem ações não autorizadas, o que pode levar à exposição de dados.Recomendações:
Para o Xinhu OA System versão 1.8.3, como solução temporária, considere restringir o acesso à função
createfolderAjax no componente mode worcAction.php para minimizar o risco de exploração. Evite usar a variável typeid no componente afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Xinhu Oa System