PT-2022-25854 · Unknown · Blogengine.Net
Tsungshu Chiu
·
Publicado
2022-12-19
·
Atualizado
2023-03-22
·
CVE-2022-41418
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
BlogEngine.NET versão 3.3.8.0
Descrição
Uma falha no componente BlogEngine/BlogEngine.NET/AppCode/Api/UploadController.cs permite que invasores executem código arbitrário por meio do upload de um arquivo PNG especialmente criado.
Recomendações
Para o BlogEngine.NET versão 3.3.8.0, considere desativar o componente UploadController.cs até que uma correção esteja disponível para impedir a execução de código arbitrário. Restrinja o acesso ao UploadController.cs para minimizar o risco de exploração. Evite usar o UploadController.cs para fazer upload de arquivos até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Blogengine.Net