CVE-2024-2828

Versões do lakernote EasyAdmin até 20240315

Foi encontrada uma falha crítica na função thumbnail do arquivo src/main/java/com/laker/admin/module/sys/controller/IndexController.java. A manipulação do argumento url leva à falsificação de solicitação no lado do servidor. É possível lançar o ataque remotamente. A exploração foi divulgada ao público e pode estar em uso.

Para versões até 20240315, aplique um patch para corrigir esta falha, especificamente o patch identificado como 23165d8cb569048c531150f194fea39f8800b8d5. Como solução temporária, considere desativar a função thumbnail até que um patch esteja disponível. Restrinja o acesso ao arquivo IndexController.java para minimizar o risco de exploração. Evite usar o argumento url na função afetada até que o problema seja resolvido.