PT-2024-20520 · Gibbon · Gibbon
Ali Maharramli
+2
·
Publicado
2024-03-23
·
Atualizado
2025-07-29
·
CVE-2024-24725
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões 26.0.00 e anteriores do Gibbon
Descrição
A vulnerabilidade permite que usuários remotos autenticados realizem ataques de deserialização PHP por meio do parâmetro
columnOrder em uma solicitação POST para o endpoint da API “/modules/System%20Admin/import run.php&type=externalAssessment&step=4”. Isso pode levar a ataques de deserialização. Não há informações disponíveis sobre o número estimado de dispositivos potencialmente afetados em todo o mundo ou sobre incidentes reais em que essa vulnerabilidade tenha sido explorada.Recomendações
Para as versões 26.0.00 e anteriores do Gibbon, restrinja o acesso ao módulo System Admin e considere aplicar a correção o mais rápido possível para mitigar o risco de exploração. Como solução alternativa temporária, considere restringir o uso do parâmetro
columnOrder no endpoint da API afetado até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Gibbon