CVE-2024-12642

TenderDocTransfer da Chunghwa Telecom (versões afetadas não especificadas)

O aplicativo configura um servidor web local simples e fornece APIs para comunicação com o site de destino. Devido à falta de proteção contra CSRF nas APIs, invasores remotos não autenticados poderiam utilizar essas APIs por meio de phishing. Além disso, uma das APIs contém uma vulnerabilidade de Relative Path Traversal, permitindo que invasores gravem arquivos arbitrários em qualquer caminho no sistema do usuário.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.