PT-2021-3954 · Akaunting · Akaunting
Trevor Christiansen
+1
·
Publicado
2021-07-27
·
Atualizado
2021-08-11
·
CVE-2021-36800
CVSS v3.1
9.1
Crítica
| Vetor | AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões 2.1.12 e anteriores do Akaunting
Descrição
A vulnerabilidade está relacionada a um problema de injeção de código no componente Money.php do aplicativo. Ela pode ser explorada enviando uma solicitação POST para o endpoint “/{company id}/sales/invoices/{invoice id}” com um
items[0][price] que inclua uma função chamável em PHP, a qual é então executada diretamente. Isso pode afetar potencialmente a confidencialidade, integridade e disponibilidade das informações protegidas.Recomendações
Para as versões 2.1.12 e anteriores, atualize para a versão 2.1.13 para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso ao componente Money.php e ao endpoint “/{company id}/sales/invoices/{invoice id}” para minimizar o risco de exploração.
Evite usar o parâmetro
items[0][price] no endpoint da API afetado até que o problema seja resolvido.Exploit
Correção
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Akaunting