PT-2024-17688 · Chunghwa Telecom · Tbm-Client
Mamie Tang
·
Publicado
2024-12-16
·
Atualizado
2024-12-21
·
CVE-2024-12644
CVSS v3.1
7.1
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:L |
Nome do software vulnerável e versões afetadas
tbm-client da Chunghwa Telecom (versões afetadas não especificadas)
Descrição
O tbm-client da Chunghwa Telecom apresenta uma vulnerabilidade de arquivo arbitrário. O aplicativo configura um servidor web local simples e fornece APIs para comunicação com o site de destino. Devido à falta de proteção contra CSRF nas APIs, invasores remotos não autenticados poderiam utilizar essas APIs por meio de phishing. Além disso, uma das APIs contém uma vulnerabilidade de traversal de caminho absoluto. Os invasores podem copiar arquivos arbitrários no sistema do usuário e colá-los em qualquer caminho, o que representa um risco potencial de vazamento de informações ou pode consumir espaço no disco rígido ao copiar arquivos em grandes volumes.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Tbm-Client