PT-2024-13628 · Itop+1 · Itop+1
Ahmad Shauqi
·
Publicado
2024-01-04
·
Atualizado
2025-03-14
·
CVE-2023-48710
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do iTop anteriores à 2.7.10
Versões do iTop anteriores à 3.0.4
Versões do iTop anteriores à 3.1.1
Versões do iTop anteriores à 3.2.0
Descrição
O iTop é uma plataforma de gerenciamento de serviços de TI. Arquivos da pasta
env-production podem ser recuperados, mesmo que devam ter acesso restrito. Esperamos que não haja arquivos confidenciais armazenados nessa pasta por padrão, mas pode haver arquivos provenientes de um módulo de terceiros. O script pages/exec.php foi corrigido para limitar a execução apenas a arquivos PHP. Outros tipos de arquivo não serão recuperados nem expostos.Recomendações
Para versões anteriores à 2.7.10, atualize para a versão 2.7.10 ou posterior.
Para versões anteriores à 3.0.4, atualize para a versão 3.0.4 ou posterior.
Para versões anteriores à 3.1.1, atualize para a versão 3.1.1 ou posterior.
Para versões anteriores à 3.2.0, atualize para a versão 3.2.0 ou posterior.
Como solução temporária, considere restringir o acesso à pasta
env-production para minimizar o risco de exploração.Exploit
Correção
Files Accessible to External Parties
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Itop