PT-2022-27364 · Unknown · Online Leave Management System
Realguoxiufeng
·
Publicado
2022-12-07
·
Atualizado
2025-04-23
·
CVE-2022-45009
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Sistema de gerenciamento de licenças online, versão 1.0
Descrição
A vulnerabilidade permite que invasores executem código arbitrário por meio de um arquivo PHP malicioso, explorando uma vulnerabilidade de upload de arquivos arbitrários no endpoint da API “/leave system/classes/SystemSettings.php?f=update settings”.
Recomendações
Para a versão 1.0, considere desativar a funcionalidade de upload de arquivos no arquivo SystemSettings.php até que uma correção esteja disponível para impedir a exploração. Restrinja o acesso ao endpoint /leave system/classes/SystemSettings.php?f=update settings para minimizar o risco de execução de código arbitrário.
Exploit
Correção
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Online Leave Management System