PT-2024-18422 · Unknown · Osuuu Lightpicture
Glzjin
·
Publicado
2024-02-27
·
Atualizado
2024-12-18
·
CVE-2024-1920
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do osuuu LightPicture até a 1.2.2
Descrição
Foi identificada uma falha crítica no osuuu LightPicture, que afeta o identificador de função do arquivo /app/middleware/TokenVerify.php. A manipulação leva ao uso de uma chave criptográfica codificada de forma rígida. O ataque pode ser iniciado remotamente, com complexidade bastante alta e exploração difícil. A exploração foi divulgada ao público e pode ser utilizada.
Recomendações
Para as versões do osuuu LightPicture até 1.2.2, considere desativar o identificador de função do arquivo /app/middleware/TokenVerify.php como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao arquivo afetado para minimizar o risco de exploração. Evite usar a chave criptográfica codificada na função afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Osuuu Lightpicture