PT-2022-7974 · Unknown · Projectsend
Lawrence Amer
·
Publicado
2022-06-27
·
Atualizado
2022-07-07
·
CVE-2017-20101
CVSS v3.1
5.7
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
ProjectSend versão r754
Descrição
Foi identificada uma vulnerabilidade no ProjectSend, afetando uma parte desconhecida do arquivo “process.php?do=zip download”. A manipulação do argumento
client/file leva à divulgação de informações. É possível iniciar o ataque remotamente.Recomendações
Para a versão r754 do ProjectSend, considere restringir o acesso ao endpoint “process.php?do=zip download” para minimizar o risco de exploração. Como solução temporária, evite usar o argumento
client/file no endpoint afetado até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.Exploit
IDOR
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Projectsend