PT-2022-19673 · Unknown · Lansweeper
Icewall
+1
·
Publicado
2022-12-15
·
Atualizado
2022-12-19
·
CVE-2022-29517
CVSS v3.1
9.9
Crítica
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Lansweeper versão 10.1.1.0
Descrição
Existe uma vulnerabilidade de traversal de diretório na funcionalidade edittemplate do HelpdeskActions.aspx. Ela pode ser acionada por uma solicitação HTTP especialmente criada, podendo levar ao upload arbitrário de arquivos. Um invasor pode explorar essa vulnerabilidade enviando uma solicitação HTTP maliciosa.
Recomendações
Para a versão 10.1.1.0 do Lansweeper, como solução temporária, considere restringir o acesso à funcionalidade HelpdeskActions.aspx edittemplate até que um patch esteja disponível. Evite usar essa funcionalidade na versão afetada para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Lansweeper