CVE-2024-26450

Versões do Piwigo anteriores à 14.2.0

Existe uma falha no Piwigo que permite que um usuário mal-intencionado assuma o controle da aplicação. Essa exploração envolve encadear uma vulnerabilidade de Cross Site Request Forgery para emitir uma carga de Stored Cross Site Scripting armazenada no painel de controle de um usuário administrador, executando JavaScript remotamente. Isso pode ser usado para fazer upload de um novo arquivo PHP sob a conta de um administrador e chamar diretamente esse arquivo da instância da vítima para se conectar de volta a um listener malicioso. A vulnerabilidade também pode ser usada por um invasor remoto para escalar privilégios por meio da função de lote na página de administração.

Para versões anteriores à 14.2.0, atualize para a versão 14.2.0 ou posterior para resolver o problema. Como solução temporária, considere desativar a função de lote na página de administração e restringir o acesso ao painel de controle do administrador para minimizar o risco de exploração. Evite usar os recursos de administração do aplicativo até que o problema seja resolvido.