PT-2024-17182 · Unknown · Codeastro Hospital Management System
Egsec
·
Publicado
2024-11-25
·
Atualizado
2024-12-04
·
CVE-2024-11674
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Sistema de Gestão Hospitalar CodeAstro, versão 1.0
Descrição
Foi encontrada uma vulnerabilidade crítica no Sistema de Gestão Hospitalar CodeAstro, afetando uma função desconhecida do arquivo /backend/doc/his doc update-account.php. A manipulação do argumento
doc dpic leva ao upload irrestrito. Essa vulnerabilidade pode ser explorada remotamente. A exploração já foi divulgada ao público e pode estar em uso.Recomendações
Para o Sistema de Gestão Hospitalar CodeAstro versão 1.0, considere restringir o acesso ao arquivo /backend/doc/his doc update-account.php para minimizar o risco de exploração. Como solução temporária, evite usar o argumento
doc dpic no arquivo afetado até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.Exploit
Correção
Improper Access Control
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Codeastro Hospital Management System