PT-2022-3660 · Unknown+1 · Formidable+1
Kolbma
·
Publicado
2022-05-16
·
Atualizado
2024-08-03
·
CVE-2022-29622
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
formidable versão 3.1.4
formidable versão 3.2.4
Descrição
Uma vulnerabilidade de upload de arquivos arbitrários no formidable permite que invasores executem código arbitrário por meio de um nome de arquivo malicioso. Alguns terceiros contestam essa questão, pois o produto possui casos de uso comuns nos quais o upload de arquivos arbitrários é o comportamento desejado. Além disso, existem opções de configuração em todas as versões que podem alterar o comportamento padrão de como os arquivos são tratados.
Recomendações
Para a versão 3.1.4, considere desativar a funcionalidade de upload de arquivos até que um patch esteja disponível.
Para a versão 3.2.4, considere restringir o acesso ao recurso de upload de arquivos para minimizar o risco de exploração.
Como solução alternativa temporária, considere alterar as opções de configuração para modificar o comportamento padrão de como os arquivos são tratados.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Debian
Formidable