CVE-2021-44031

**Nome do software vulnerável e versões afetadas:

Versões do Quest KACE Desktop Authority anteriores à 11.2

Descrição:

Foi descoberta uma falha no Quest KACE Desktop Authority que poderia permitir a execução remota de código antes da autenticação. O endpoint da API “/dacomponentui/profiles/profileitems/outlooksettings/Insertimage.aspx” contém uma vulnerabilidade. Um invasor poderia fazer upload de um arquivo .ASP para residir em “/images/{GUID}/{filename}”.

Recomendações:

Para versões anteriores à 11.2, atualize para a versão 11.2 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao endpoint “/dacomponentui/profiles/profileitems/outlooksettings/Insertimage.aspx” até que um patch esteja disponível. Evite usar a variável filename no endpoint da API afetado até que o problema seja resolvido.