PT-2022-13867 · Unknown · Yetiforcecrm
Publicado
2022-05-05
·
Atualizado
2022-05-12
·
CVE-2022-1411
CVSS v3.1
9.1
Crítica
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:H |
Nome do software vulnerável e versões afetadas
Versões do yetiforcecrm anteriores à 6.4.0
Descrição
O problema diz respeito a um envio de arquivos sem restrições no repositório do GitHub yetiforcecompany/yetiforcecrm. Um invasor pode enviar arquivos maliciosos, recuperar dados armazenados da aplicação web sem as devidas medidas de segurança para exibi-los no navegador e roubar o cookie da vítima, levando à apropriação da conta.
Recomendações
Para versões anteriores à 6.4.0, atualize para a versão 6.4.0 ou posterior para resolver o problema. Como solução temporária, considere restringir o upload de arquivos ou implementar medidas de segurança adicionais para impedir uploads de arquivos maliciosos até que um patch seja aplicado.
Exploit
Correção
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Yetiforcecrm