PT-2024-17022 · Unknown · Code4Berry Decoration Management System
Scumdestroy
+1
·
Publicado
2024-11-20
·
Atualizado
2024-11-23
·
CVE-2024-11484
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Code4Berry Decoration Management System versão 1.0
Descrição
Foi identificada uma falha crítica no Code4Berry Decoration Management System. Ela afeta uma funcionalidade desconhecida do arquivo /decoration/admin/update image.php do componente User Image Handler. A manipulação do argumento
productimage1 leva a falhas nos controles de acesso. O ataque pode ser lançado remotamente. A exploração foi divulgada ao público e pode estar em uso. O fornecedor foi contatado antecipadamente sobre essa divulgação, mas não respondeu de forma alguma.Recomendações
Como solução temporária, considere desativar o arquivo
update image.php no componente User Image Handler até que uma correção esteja disponível.Restrinja o acesso ao endpoint
/decoration/admin/update image.php para minimizar o risco de exploração.Evite usar o argumento
productimage1 no endpoint da API afetado até que o problema seja resolvido.No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Improper Access Control
Incorrect Privilege Assignment
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Code4Berry Decoration Management System