CVE-2024-24572

facileManager versões 4.5.0 e anteriores

O problema diz respeito a um conjunto modular de aplicativos web desenvolvido com o administrador de sistemas em mente. Nas versões afetadas, a matriz global $ REQUEST foi chamada de forma insegura dentro da função extract() no arquivo admin-logs.php. Embora o arquivo PHP fm-init.php impeça a manipulação arbitrária de $ SESSION por meio dos parâmetros GET/POST, ele não impede a manipulação de outras variáveis confidenciais, como $search sql. Um usuário autenticado com privilégios para visualizar os logs do site pode manipular a variável $search sql anexando um parâmetro GET search sql na URL. Isso torna as verificações e as tentativas de prevenção de injeção de SQL inutilizáveis.

Para as versões 4.5.0 e anteriores, considere desativar a função extract() em admin-logs.php ou restringir o acesso à variável $search sql até que um patch esteja disponível. Como solução temporária, evite usar o parâmetro search sql na URL afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.