PT-2024-17454 · Horilla · Horilla
Sp1D3R
·
Publicado
2024-12-04
·
Atualizado
2024-12-04
·
CVE-2024-12138
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do horilla até a 1.2.1
Descrição
Foi encontrada uma vulnerabilidade crítica no horilla, afetando a função
request new/get employee shift/create reimbursement/key result current value update/create meetings/create skills. A manipulação leva à deserialização. O ataque pode ser iniciado remotamente. A exploração foi divulgada ao público e pode estar em uso. O fornecedor foi contatado antecipadamente sobre essa divulgação, mas não respondeu de forma alguma.Recomendações
Para versões até 1.2.1, como solução temporária, considere desativar a função
request new/get employee shift/create reimbursement/key result current value update/create meetings/create skills até que um patch esteja disponível.No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
Deserialization of Untrusted Data
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Horilla