PT-2024-18144 · Megabip · Megabip
Krzysztof Gawkowski
·
Publicado
2024-06-12
·
Atualizado
2024-08-14
·
CVE-2024-1576
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do software MegaBIP até a 5.09
Software MegaBIP (todas as versões)
Descrição
A vulnerabilidade permite que um invasor obtenha privilégios de administrador do site, incluindo acesso ao painel de administração e a capacidade de alterar a senha de administrador. Além disso, ela possibilita a execução remota de código, permitindo a execução de código arbitrário no servidor sem a necessidade de autenticação, por meio do salvamento de código PHP malicioso em um dos arquivos do site.
Recomendações
Para as versões do software MegaBIP até a 5.09, atualize para uma versão que corrija a vulnerabilidade de injeção de SQL.
Para todas as versões do software MegaBIP, restrinja o acesso ao painel de administração e considere desativar a capacidade de salvar código PHP nos arquivos do site até que um patch esteja disponível.
Como solução alternativa temporária, considere implementar medidas adicionais de autenticação para a execução remota de código, a fim de minimizar o risco de exploração.
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Megabip