PT-2024-18576 · Nway Pro · Nway Pro
Lorenzomoulin
·
Publicado
2024-02-29
·
Atualizado
2024-05-17
·
CVE-2024-2009
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Nway Pro versão 9
Descrição
Foi encontrada uma vulnerabilidade na função
ajax login submit form do arquivo loginindex.php do componente Argument Handler. A manipulação do argumento rsargs[] leva à exposição de informações por meio de uma mensagem de erro. O ataque pode ser lançado remotamente.Recomendações
Para o Nway Pro versão 9, como solução temporária, considere desativar a função
ajax login submit form até que uma correção esteja disponível. Restrinja o acesso ao arquivo loginindex.php para minimizar o risco de exploração. Evite usar o argumento rsargs[] no componente afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.Generation of Error Message Containing Sensitive Information
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Nway Pro