PT-2024-18236 · Zhongbangkeji · Crmeb
Ting
·
Publicado
2024-02-21
·
Atualizado
2025-01-03
·
CVE-2024-1703
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
ZhongBangKeJi CRMEB versão 5.2.2
Descrição
Foi identificada uma falha no software que afeta a função
openfile do arquivo “/adminapi/system/file/openfile”. Essa falha permite a traversal de caminho absoluto. A exploração foi divulgada ao público. O fornecedor foi contatado sobre essa divulgação, mas não respondeu.Recomendações
Para o ZhongBangKeJi CRMEB versão 5.2.2, considere desativar a função
openfile do arquivo “/adminapi/system/file/openfile” como uma solução temporária para minimizar o risco de exploração. Restrinja o acesso ao endpoint “/adminapi/system/file/openfile” para impedir ataques de traversal de caminho absoluto. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.Exploit
Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Crmeb