PT-2024-17382 · Unknown · Corporate Training Management System
Yen Chun Shen
·
Publicado
2024-12-19
·
Atualizado
2024-12-24
·
CVE-2024-11984
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Sistema de Gestão de Treinamento Corporativo anteriores à 10.13
Descrição
Uma vulnerabilidade na função de rascunho do epaper do Sistema de Gestão de Treinamento Corporativo permite que usuários remotos autenticados contornem as restrições de envio de arquivos e executem comandos arbitrários do sistema com privilégios de SYSTEM por meio de um arquivo ZIP malicioso. Esse problema está relacionado ao envio irrestrito de arquivos de tipos perigosos.
Recomendações
Para versões anteriores à 10.13, atualize para a versão 10.13 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à função de rascunho de epaper para minimizar o risco de exploração. Além disso, evite usar a função de rascunho de epaper até que o problema seja resolvido.
Correção
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Corporate Training Management System