PT-2024-26233 · F Logic · F-Logic Datacube3
Ph0Jav7
·
Publicado
2024-05-28
·
Atualizado
2025-06-10
·
CVE-2024-34852
CVSS v3.1
6.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L |
Nome do software vulnerável e versões afetadas
F-logic DataCube3 versão 1.0
Descrição
O problema está relacionado à injeção de comando devido a uma filtragem inadequada de strings no ponto de execução do comando no arquivo ./admin/transceiver schedule.php. Um invasor remoto não autenticado pode explorar essa vulnerabilidade enviando um nome de arquivo que contenha injeção de comando, o que pode permitir que o invasor execute comandos do sistema.
Recomendações
Para o F-logic DataCube3 versão 1.0, considere restringir o acesso ao arquivo ./admin/transceiver schedule.php para minimizar o risco de exploração. Como solução temporária, evite usar nomes de arquivos que possam ser utilizados para injeção de comando neste arquivo até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
F-Logic Datacube3