PT-2024-17615 · Unknown · Wetech-Cms
Hadagaga
·
Publicado
2024-12-11
·
Atualizado
2024-12-13
·
CVE-2024-12482
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
cjbi wetech-cms, versões 1.0 a 1.2
Descrição
Foi detectada uma falha na função de backup do componente Database Backup Handler, especificamente no arquivo
BackupFileUtil.java. Essa falha permite a traversal de caminho, como ‘../filedir’, devido à manipulação do nome do argumento. O ataque pode ser lançado remotamente. A exploração foi divulgada ao público e pode estar em uso. O fornecedor foi contatado antecipadamente sobre essa divulgação, mas não respondeu de forma alguma.Recomendações
Para as versões 1.0 a 1.2, como solução temporária, considere desativar a função de backup no componente Database Backup Handler até que um patch esteja disponível. Restrinja o acesso ao arquivo
BackupFileUtil.java para minimizar o risco de exploração. Evite usar a função de backup vulnerável no componente afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
Path traversal
Relative Path Traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Wetech-Cms