PT-2024-21047 · Alf.Io · Alf.Io
Pinkdraconian
·
Publicado
2024-02-16
·
Atualizado
2024-12-18
·
CVE-2024-25627
CVSS v3.1
4.8
Média
| Vetor | AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do Alf.io anteriores à 2.0-M4-2402
Descrição
A vulnerabilidade permite que um administrador do aplicativo Alf.io faça upload de arquivos HTML que acionam cargas de JavaScript. Isso poderia permitir que um invasor que obtivesse acesso administrativo mantivesse esse acesso por meio da inserção de uma carga XSS. Não há soluções alternativas conhecidas para este problema.
Recomendações
Para versões anteriores à 2.0-M4-2402, atualize para a versão 2.0-M4-2402 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao recurso de upload de arquivos HTML até que um patch seja aplicado.
Exploit
Correção
XSS
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alf.Io