PT-2024-24088 · Unknown · Psitransfer
Onelovegg1
·
Publicado
2024-04-05
·
Atualizado
2024-04-10
·
CVE-2024-31454
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do PsiTransfer anteriores à 2.2.0
Descrição
O problema decorre da ausência de restrições no endpoint
PATCH /files/{{id}}, destinado ao upload de arquivos. Isso permite que um invasor que tenha obtido o ID de uma distribuição de arquivos modifique os arquivos contidos nessa distribuição. Ao enviar uma solicitação PATCH /files/{{id}} com conteúdo arbitrário no corpo da solicitação, um invasor pode alterar o arquivo com o id especificado. O arquivo modificado ficará então disponível para download por usuários subsequentes, permitindo potencialmente que o invasor distribua conteúdo malicioso ou de phishing.Recomendações
Para versões anteriores à 2.2.0, atualize para a versão 2.2.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao endpoint
PATCH /files/{{id}} para impedir modificações não autorizadas nos arquivos.Exploit
Correção
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Psitransfer