CVE-2024-30248

Versões do Piccolo Admin anteriores à 1.3.2

O problema diz respeito à interface do Piccolo Admin, que permite o envio de arquivos de mídia, incluindo arquivos SVG por padrão. Um invasor pode enviar um arquivo SVG malicioso que, ao ser carregado, pode proporcionar acesso arbitrário à página de administração. Esse acesso permite que o invasor execute várias ações, como obter acesso a todos os dados armazenados na página de administração, criar, modificar ou excluir registros de tabelas. A vulnerabilidade explora o contexto de uma sessão de administrador autenticada, permitindo que o invasor realize ações que normalmente seriam restritas.

Para versões anteriores à 1.3.2, atualize para a versão 1.3.2 ou posterior para resolver o problema. Como solução temporária, considere desativar o upload de arquivos SVG ou restringir o acesso ao painel de administração para minimizar o risco de exploração. Além disso, garantir que cabeçalhos de segurança adequados estejam configurados, como proteção contra XSS e uma política de segurança de conteúdo, pode ajudar a mitigar a vulnerabilidade. Modificar a geração do modelo Piccolo para incluir esses cabeçalhos de segurança por padrão ou forçar o navegador a baixar anexos em vez de renderizá-los inline também pode ser considerado.