PT-2024-17689 · Chunghwa Telecom · Topm-Client
Chumy Tsai
·
Publicado
2024-12-16
·
Atualizado
2024-12-16
·
CVE-2024-12645
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
topm-client da Chunghwa Telecom (versões afetadas não especificadas)
Descrição
O topm-client da Chunghwa Telecom apresenta uma falha que permite que invasores leiam arquivos arbitrários no sistema do usuário. O aplicativo configura um servidor web local simples e fornece APIs para comunicação com o site de destino. Devido à falta de proteção CSRF para as APIs, invasores remotos não autenticados poderiam usar essas APIs por meio de phishing. Além disso, uma das APIs contém uma vulnerabilidade de Relative Path Traversal, que permite que invasores leiam arquivos arbitrários no sistema do usuário.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Relative Path Traversal
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Topm-Client