CVE-2022-24688

DSK DSKNet, versões 2.16.136.0 a 2.17.136.5

Uma falha permite o envio irrestrito de arquivos, levando à execução remota de código, por meio do envio de um PDF com conteúdo PHP e extensão .php nas configurações do Touch. O invasor deve ter acesso de usuário privilegiado à página Parâmetros para explorar essa vulnerabilidade, o que pode ser obtido explorando o controle de acesso comprometido com um ataque de força bruta ou injeção de SQL. O arquivo enviado é armazenado no banco de dados e copiado para a pasta de sincronização da web se o invasor acessar uma determinada página ‘.php?action=’.

Para as versões 2.16.136.0 a 2.17.136.5, considere desativar o recurso de upload de arquivos nas configurações do Touch até que uma correção esteja disponível. Restrinja o acesso à página Parâmetros para minimizar o risco de exploração. Evite usar a página ‘.php?action=’ na pasta web de sincronização até que a vulnerabilidade seja resolvida.