PT-2024-21065 · Unknown · Pandaxgo Pandax
Linyz-Tel
·
Publicado
2024-03-17
·
Atualizado
2024-05-17
·
CVE-2024-2565
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
PandaXGO PandaX até 20240310
Descrição
Foi encontrada uma vulnerabilidade crítica no componente File Extension Handler, especificamente no arquivo /apps/system/router/upload.go. A manipulação do argumento
file leva a um upload sem restrições. Essa vulnerabilidade pode ser explorada remotamente. A exploração já foi divulgada ao público.Recomendações
Para o PandaXGO PandaX até 20240310, como solução temporária, considere restringir o acesso à funcionalidade de upload no arquivo /apps/system/router/upload.go até que uma correção esteja disponível. Evite usar o argumento
file no componente afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta falha.Exploit
Correção
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Pandaxgo Pandax