PT-2022-20481 · Unknown · Open Forms
Sergei-Maertens
·
Publicado
2022-06-13
·
Atualizado
2022-06-23
·
CVE-2022-31041
CVSS v3.1
7.6
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:L |
Nome do software vulnerável e versões afetadas
Versões do Open Forms anteriores à 1.0.9
Versões do Open Forms anteriores à 1.1.1
Descrição
O Open Forms é um aplicativo para a criação e publicação de formulários inteligentes, que suporta o upload de arquivos com extensões permitidas configuráveis. A validação de entrada dos arquivos enviados é insuficiente, permitindo que os usuários alterem ou removam extensões de arquivo e contornem a validação. Isso resulta no envio de arquivos para o servidor com tipos de arquivo diferentes daqueles indicados pela extensão do nome do arquivo, o que pode levar à entrada de arquivos maliciosos nas redes internas.
Recomendações
Para versões anteriores à 1.0.9, atualize para a versão 1.0.9 ou posterior para resolver o problema.
Para versões anteriores à 1.1.1, atualize para a versão 1.1.1 ou posterior para resolver o problema.
Como solução alternativa temporária, considere usar um gateway de API ou uma solução de detecção de intrusão na frente do Open Forms para verificar e bloquear conteúdo malicioso antes que ele chegue ao aplicativo.
Exploit
Correção
Unrestricted File Upload
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Open Forms