PT-2024-21138 · Skinsoft · Skinsoft S-Museum
Publicado
2024-02-21
·
Atualizado
2025-03-13
·
CVE-2024-25801
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
SKINsoft S-Museum versão 7.02.3
Descrição
A vulnerabilidade permite a execução de código arbitrário por meio de um arquivo PDF malicioso enviado através da função “Adicionar mídia”. Além disso, é possível executar um ataque de script entre sites (XSS) manipulando o nome de um arquivo enviado. A carga útil do ataque XSS está contida no nome do arquivo, e não no conteúdo do arquivo.
Recomendações
Para o SKINsoft S-Museum versão 7.02.3, considere desativar a funcionalidade de envio de arquivos na função “Adicionar mídia” até que uma correção esteja disponível. Como solução alternativa temporária, restrinja os tipos de arquivos que podem ser enviados para minimizar o risco de exploração. Evite usar a função “Adicionar mídia” com arquivos não confiáveis até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
XSS
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Skinsoft S-Museum