PT-2024-25922 · Unknown · Hc Mailinspector
Osvaldotenorio
·
Publicado
2024-05-06
·
Atualizado
2024-07-03
·
CVE-2024-34471
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L |
Nome do software vulnerável e versões afetadas
HSC Mailinspector versão 5.2.17-3
Descrição
Existe uma vulnerabilidade de traversal de caminho no arquivo mliRealtimeEmails.php, permitindo que um invasor leia e exclua arquivos arbitrários no servidor devido à validação inadequada da localização do arquivo pelo parâmetro
filename na funcionalidade de exportação para HTML. Isso pode resultar em interrupção no carregamento das informações de e-mail, conforme observado quando o próprio arquivo mliRealtimeEmails.php foi lido e subsequentemente excluído, levando a um erro 404.Recomendações
Para o HSC Mailinspector versão 5.2.17-3, considere desativar a funcionalidade de exportação HTML no arquivo mliRealtimeEmails.php até que um patch esteja disponível para impedir a exploração da vulnerabilidade de traversal de caminho. Restrinja o acesso ao arquivo mliRealtimeEmails.php para minimizar o risco de exclusão arbitrária de arquivos. Evite usar o parâmetro
filename na funcionalidade de exportação HTML até que o problema seja resolvido.Exploit
Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Hc Mailinspector