PT-2022-21382 · Unknown · Lansweeper
Icewall
+1
·
Publicado
2022-12-15
·
Atualizado
2022-12-19
·
CVE-2022-32573
CVSS v3.1
9.9
Crítica
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Lansweeper versão 10.1.1.0
Descrição
Existe uma vulnerabilidade de traversal de diretório na funcionalidade addDoc da página AssetActions.aspx. Ela pode ser acionada por uma solicitação HTTP especialmente criada, podendo levar ao upload arbitrário de arquivos. Um invasor pode explorar essa vulnerabilidade enviando uma solicitação HTTP maliciosa.
Recomendações
Para a versão 10.1.1.0 do Lansweeper, como solução temporária, considere restringir o acesso à página AssetActions.aspx até que um patch esteja disponível. Evite usar a funcionalidade addDoc na página AssetActions.aspx até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Lansweeper