PT-2024-23308 · Collabora · Collabora Online Voilà Dashboard
Ericfinger
·
Publicado
2024-04-03
·
Atualizado
2024-04-04
·
CVE-2024-30265
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do painel de controle Collabora Online voilà anteriores à 0.2.17
Versões do painel de controle Collabora Online voilà anteriores à 0.3.8
Versões do painel de controle Collabora Online voilà anteriores à 0.4.4
Versões do painel de controle Collabora Online voilà anteriores à 0.5.6
Descrição
A vulnerabilidade permite a inclusão de arquivos locais, possibilitando o download de qualquer arquivo no sistema de arquivos que seja legível pelo usuário que executa o servidor do painel de controle do voilà por alguém com acesso à rede do servidor. A necessidade de autenticação depende da forma de implantação do voilà. Várias instâncias do voilà online são afetadas.
Recomendações
Para versões anteriores à 0.2.17, atualize para a versão 0.2.17 ou posterior.
Para versões anteriores à 0.3.8, atualize para a versão 0.3.8 ou posterior.
Para versões anteriores à 0.4.4, atualize para a versão 0.4.4 ou posterior.
Para versões anteriores à 0.5.6, atualize para a versão 0.5.6 ou posterior.
Como solução temporária, considere restringir o acesso à rota “/static” até que um patch esteja disponível.
Restrinja o acesso a arquivos confidenciais no sistema de arquivos para minimizar o risco de exploração.
Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Collabora Online Voilà Dashboard