PT-2022-12299 · Spatie · Media-Library-Pro
Kelvin Yip
·
Publicado
2022-03-15
·
Atualizado
2022-03-24
·
CVE-2021-45040
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Biblioteca Spatie media-library-pro, versões 1.17.10 e anteriores
Biblioteca Spatie media-library-pro, versões 2.x a 2.1.6
Descrição
A vulnerabilidade permite que invasores remotos enviem arquivos executáveis por meio do endpoint da API “uploads route”. Isso pode ser explorado por invasores para enviar arquivos maliciosos.
Recomendações
Para as versões 1.17.10 e anteriores da biblioteca Spatie media-library-pro, atualize para uma versão posterior à 1.17.10 para resolver o problema.
Para as versões 2.x a 2.1.6 da biblioteca Spatie media-library-pro, atualize para uma versão posterior à 2.1.6 para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso ao endpoint da API “uploads route” para minimizar o risco de exploração.
Exploit
Correção
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Media-Library-Pro