PT-2024-17881 · Unknown · Taisan Tarzan-Cms
Redpomelo
·
Publicado
2024-12-29
·
Atualizado
2025-08-21
·
CVE-2024-13022
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
taisan tarzan-cms versão 1.0.0
Descrição
Foi encontrada uma falha crítica no componente de gerenciamento de artigos, afetando especificamente a função
UploadResponse do arquivo UploadController.java. A manipulação do argumento file leva a uploads irrestritos. Essa falha pode ser explorada remotamente. A exploração já foi divulgada ao público e pode estar em uso.Recomendações
Para o taisan tarzan-cms versão 1.0.0, considere desativar a função
UploadResponse até que um patch esteja disponível para impedir uploads de arquivos irrestritos. Restrinja o acesso ao arquivo UploadController.java para minimizar o risco de exploração. Evite usar o argumento file no endpoint da API afetado até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.Exploit
Improper Access Control
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Taisan Tarzan-Cms