PT-2021-21657 · Nch · Nch Ivm Attendant
Publicado
2021-07-25
·
Atualizado
2021-07-30
·
CVE-2021-37444
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
NCH IVM Attendant versões 5.12 e anteriores
Descrição
O problema está relacionado a uma vulnerabilidade de traversal de diretório ao fazer upload de plug-ins em um arquivo ZIP. Essa vulnerabilidade pode levar à execução de código se o caminho de um elemento ZIP for definido como uma pasta de inicialização do Windows, um arquivo para a função integrada de mensagens de saída ou um arquivo para a função integrada de discagem automática.
Recomendações
Para as versões 5.12 e anteriores, considere desativar o recurso de upload de plug-ins até que uma correção esteja disponível para evitar a possível execução de código. Restrinja o acesso à funcionalidade de upload de arquivos ZIP para minimizar o risco de exploração. Evite usar o parâmetro de caminho no elemento ZIP para impedir a traversal de diretório.
Exploit
Correção
Unrestricted File Upload
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Nch Ivm Attendant