PT-2021-18028 · Unknown · Invoiceplane
Naui95
·
Publicado
2021-05-17
·
Atualizado
2023-03-01
·
CVE-2021-29024
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
**Nome do software vulnerável e versões afetadas:
InvoicePlane versão 1.5.11
Descrição:
A vulnerabilidade permite a exibição de diretórios e o download de arquivos sem autenticação devido a uma configuração incorreta do servidor web. Isso permite que um invasor realize traversal de diretórios e baixe arquivos que deveriam ser privados sem a necessidade de autenticação.
Recomendações:
Para o InvoicePlane versão 1.5.11, considere reconfigurar o servidor web para impedir a listagem de diretórios e o download de arquivos sem autenticação como uma solução temporária. Restrinja o acesso a diretórios e arquivos confidenciais para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
Files Accessible to External Parties
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Invoiceplane