CVE-2022-25336

Ibexa DXP ezsystems/ezpublish-kernel, versões 7.5.x a 7.5.25

Ibexa DXP ezsystems/ezpublish-kernel, versões 1.3.x a 1.3.11

A vulnerabilidade permite ataques de Referência Direta a Objetos Insegura (IDOR) contra arquivos de imagem, pois o caminho e o nome do arquivo podem ser deduzidos corretamente. Quando os arquivos de imagem são carregados, eles ficam acessíveis com um nome semelhante ao nome do arquivo original. Isso apresenta dois problemas: certos ataques de injeção podem ser possíveis, pois nem todos os vetores de ataque possíveis são removidos do nome do arquivo original; e o acesso direto às imagens não é controlado, permitindo que imagens que não deveriam ser acessíveis ao público sejam acessadas se o caminho e o nome do arquivo forem deduzidos ou adivinhados corretamente.

Para as versões 7.5.x a 7.5.25 do Ibexa DXP ezsystems/ezpublish-kernel, atualize para a versão 7.5.26 ou posterior.

Para as versões 1.3.x a 1.3.11 do Ibexa DXP ezsystems/ezpublish-kernel, atualize para a versão 1.3.12 ou posterior.

Como solução alternativa temporária, considere restringir o acesso a arquivos de imagem para minimizar o risco de exploração.