PT-2021-20211 · Cleo · Cleo Lexicom
Stephen Breen
·
Publicado
2021-06-18
·
Atualizado
2021-06-22
·
CVE-2021-33576
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Cleo LexiCom versão 5.5.0.0
Descrição
Foi detectada uma falha no Cleo LexiCom que permite ao remetente especificar um nome de arquivo dentro da mensagem AS2. Esse nome de arquivo pode incluir caracteres de traversal de caminho, permitindo que o arquivo seja gravado em um local arbitrário no disco.
Recomendações
Para o Cleo LexiCom versão 5.5.0.0, como solução temporária, considere restringir a capacidade dos remetentes de especificar nomes de arquivos dentro de mensagens AS2 até que um patch esteja disponível. Além disso, restrinja o acesso a diretórios confidenciais para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Cleo Lexicom