PT-2024-13783 · Wwbn · Avideo
Claudio Bozzato
·
Publicado
2024-01-10
·
Atualizado
2024-01-17
·
CVE-2023-49715
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
WWBN AVideo dev master commit 15fed957fb
Descrição
Existe uma vulnerabilidade na funcionalidade de cópia temporária do arquivo import.json.php, permitindo o envio irrestrito de arquivos PHP. Isso pode levar à execução de código arbitrário quando combinado com uma vulnerabilidade de inclusão de arquivo local (LFI). Um invasor pode explorar essa falha enviando solicitações HTTP especialmente criadas.
Recomendações
Como solução temporária, considere desativar a funcionalidade do import.json.php até que um patch esteja disponível. Restrinja o acesso à funcionalidade de cópia temporária para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Avideo