PT-2024-18677 · Unknown · Artica Proxy
Jaggar Henry
·
Publicado
2024-03-05
·
Atualizado
2025-08-19
·
CVE-2024-2053
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Aplicação web administrativa Artica Proxy, versão 4.50
Descrição
A aplicação web administrativa Artica Proxy deserializa objetos PHP arbitrários fornecidos por usuários não autenticados, permitindo a execução de código como o usuário “www-data”. A aplicação tenta impedir a inclusão de arquivos locais, mas essas proteções podem ser contornadas, permitindo que solicitações de arquivos arbitrários fornecidas por usuários não autenticados sejam retornadas de acordo com os privilégios do usuário “www-data”.
Recomendações
Para a versão 4.50, considere desativar a deserialização de objetos PHP até que um patch esteja disponível. Restrinja o acesso ao aplicativo web administrativo para minimizar o risco de exploração. Evite usar o aplicativo até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
Relative Path Traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Artica Proxy