PT-2024-21800 · Unknown · Docassemble
Richighimi
·
Publicado
2024-02-29
·
Atualizado
2025-09-02
·
CVE-2024-27292
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Docassemble, versões 1.4.53 a 1.4.96
Descrição
A vulnerabilidade permite que invasores obtenham acesso não autorizado a informações no sistema por meio da manipulação de URLs. Trata-se de uma falha de traversal de caminho não autenticada que expõe arquivos confidenciais e segredos, levando à escalada de privilégios e à injeção de modelos, possibilitando a execução remota de código. A vulnerabilidade afeta o Docassemble, um sistema especializado para entrevistas guiadas e montagem de documentos.
Recomendações
Para as versões 1.4.53 a 1.4.96, atualize para a versão 1.4.97 do ramo master para resolver o problema.
Se a atualização não for possível, aplique manualmente as alterações do patch e reinicie o servidor.
Como solução alternativa temporária, considere restringir o acesso a arquivos confidenciais e segredos para minimizar o risco de exploração.
Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Docassemble