PT-2021-17404 · Opensips · Opensis Community Edition
Evan Yu
·
Publicado
2021-09-16
·
Atualizado
2021-09-27
·
CVE-2021-27341
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do OpenSIS Community Edition anteriores à 7.7
Descrição
O problema está relacionado a uma vulnerabilidade de inclusão de arquivo local no arquivo DownloadWindow.php, especificamente por meio do parâmetro
filename. Essa vulnerabilidade pode ser potencialmente explorada para acessar arquivos não autorizados no sistema.Recomendações
Para versões do OpenSIS Community Edition anteriores à 7.7, atualize para a versão 7.7 ou posterior para resolver o problema.
Como solução temporária, considere restringir o acesso ao arquivo DownloadWindow.php ou desativar o parâmetro
filename até que um patch esteja disponível.Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Opensis Community Edition