PT-2021-6148 · Sap · Sap Business One
Publicado
2021-08-13
·
Atualizado
2021-09-28
·
CVE-2021-33698
CVSS v3.1
9.9
Crítica
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
SAP Business One versão 10.0
Descrição
O problema está relacionado à falta de restrições ao envio de arquivos no sistema, permitindo que um invasor remoto envie e execute arquivos arbitrários. Isso pode ser feito por um invasor com autorização comercial, que pode enviar quaisquer arquivos, incluindo arquivos de script, sem a devida validação do formato do arquivo.
Recomendações
Para o SAP Business One versão 10.0, considere restringir os recursos de upload de arquivos a pessoal autorizado e validar os formatos de arquivo antes de permitir uploads, a fim de evitar explorações. Como solução alternativa temporária, considere desativar a funcionalidade de upload de arquivos até que uma correção esteja disponível.
Correção
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Sap Business One