PT-2022-17030 · Unknown · Jqueryform
Paul Bisso
·
Publicado
2022-02-16
·
Atualizado
2022-02-25
·
CVE-2022-24983
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do JQueryForm.com anteriores a 05/02/2022
Descrição
A vulnerabilidade permite que invasores remotos obtenham a URI de qualquer arquivo enviado capturando a resposta POST. Isso pode ser combinado com outra vulnerabilidade, levando potencialmente à execução remota de código sem autenticação no servidor web subjacente. O problema ocorre porque o campo “Unique ID” está contido na resposta POST ao enviar um formulário.
Recomendações
Para versões anteriores a 05/02/2022, considere restringir o acesso ao endpoint de envio do formulário para minimizar o risco de exploração. Como solução temporária, evite usar o campo ID Único na resposta POST até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jqueryform