PT-2024-16775 · Unknown · Lingdang Crm
Mstir
+1
·
Publicado
2024-11-12
·
Atualizado
2025-08-27
·
CVE-2024-11122
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Lingdang CRM até a 8.6.4.3
Descrição
Foi encontrada uma falha crítica no software, afetando alguma funcionalidade desconhecida do arquivo /crm/wechatSession/index.php?msgid=1&operation=upload. A manipulação do argumento
file leva a um upload irrestrito. Esta falha pode ser explorada remotamente.Recomendações
Para versões até 8.6.4.3, como solução temporária, considere restringir o acesso ao arquivo /crm/wechatSession/index.php para minimizar o risco de exploração. Evite usar o argumento
file no endpoint da API afetado até que a falha seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta falha.Exploit
Correção
Improper Access Control
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Lingdang Crm