PT-2024-20061 · Gambio · Gambio

Christian Poeschl

Publicado

2024-02-12

Atualizado

2024-02-15

CVE-2024-23759

CVSS v3.1

9.8

Crítica

Vetor

AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Nome do software vulnerável e versões afetadas

Versões do Gambio até a 4.9.2.0

Descrição

A vulnerabilidade permite que invasores executem código arbitrário por meio do parâmetro search da função “Parcelshopfinder/AddAddressBookEntry”. Isso ocorre devido à deserialização de dados não confiáveis.

Recomendações

Para versões até 4.9.2.0, como solução temporária, considere restringir o acesso à função “Parcelshopfinder/AddAddressBookEntry” até que uma correção esteja disponível. Evite usar o parâmetro search nesta função para minimizar o risco de exploração.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Exploit

Unrestricted File Upload

Deserialization of Untrusted Data

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-434CWE-502

Identificadores relacionados

CVE-2024-23759

Produtos afetados

Gambio

PT-2024-20061 · Gambio · Gambio

CVE-2024-23759

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 7