CVE-2024-12646

topm-client da Chunghwa Telecom (versões afetadas não especificadas)

O aplicativo topm-client configura um servidor web local simples e fornece APIs para comunicação com o site de destino. Devido à falta de proteção contra CSRF nas APIs, invasores remotos não autenticados poderiam utilizar essas APIs por meio de phishing. Além disso, uma das APIs contém uma vulnerabilidade de Absolute Path Traversal, permitindo que invasores excluam arquivos arbitrários no sistema do usuário.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.