PT-2022-3964 · Arox · Arox School Erp Pro
Publicado
2022-05-31
·
Atualizado
2022-07-22
·
CVE-2022-32119
CVSS v2.0
10
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Arox School ERP Pro versão 1.0
Descrição
O problema está relacionado à implementação das funções “Adicionar foto” e “Importar equipe” no sistema de gestão escolar, que permite o upload ilimitado de tipos de arquivos perigosos. Isso pode ser explorado por um invasor remoto para executar código arbitrário ao enviar um arquivo malicioso especialmente criado. A vulnerabilidade é explorada por meio da função “Adicionar foto” em “photogalleries.inc.php” e da função “importar equipe em Excel” em “1finance master.inc.php”.
Recomendações
Para o Arox School ERP Pro versão 1.0, considere desativar a função
Adicionar Foto e a função importar equipe excel até que uma correção esteja disponível para impedir a exploração. Restrinja o acesso aos arquivos “photogalleries.inc.php” e “1finance master.inc.php” para minimizar o risco de exploração. Evite usar essas funções até que o problema seja resolvido.Exploit
Correção
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Arox School Erp Pro