PT-2024-20383 · Stimulsoft · Stimulsoft Dashboard.Js
Di Lukas Hammer
+1
·
Publicado
2024-02-05
·
Atualizado
2024-02-13
·
CVE-2024-24398
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Stimulsoft Dashboard.JS anteriores à 2024.1.2
Descrição
Uma vulnerabilidade de traversal de diretório permite que um invasor remoto execute código arbitrário por meio de uma carga maliciosa enviada ao parâmetro
fileName da função Save. Isso permite que o invasor possa acessar e manipular arquivos fora da estrutura de diretórios prevista.Recomendações
Para versões anteriores à 2024.1.2, atualize para a versão 2024.1.2 ou posterior para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso à função Save ou validar o parâmetro
fileName para impedir cargas maliciosas.Exploit
Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Stimulsoft Dashboard.Js