PT-2022-25541 · Unknown · Roxy Fileman
Hadi Mene
·
Publicado
2022-11-09
·
Atualizado
2025-05-01
·
CVE-2022-40797
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Roxy Fileman versão 1.4.6
Descrição
A vulnerabilidade permite a execução remota de código por meio do upload de um arquivo .phar. Isso ocorre porque o valor padrão de FORBIDDEN UPLOADS no arquivo conf.json bloqueia apenas arquivos .php, .php4 e .php5. Em algumas configurações de servidor web, acessar qualquer arquivo .phar invoca o interpretador PHP.
Recomendações
Para o Roxy Fileman versão 1.4.6, considere atualizar o valor de FORBIDDEN UPLOADS no conf.json para incluir arquivos .phar, a fim de impedir a execução remota de código por meio de uploads de arquivos .phar. Como solução temporária, restrinja o acesso a arquivos .phar para minimizar o risco de exploração.
Exploit
Correção
RCE
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Roxy Fileman