PT-2024-26467 · Mocodo · Mocodo Online

Chocapikk

Publicado

2024-05-24

Atualizado

2025-09-22

CVE-2024-35374

CVSS v3.1

9.8

Crítica

Vetor

AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Nome do software vulnerável e versões afetadas

Mocodo Mocodo Online versões 4.2.6 e anteriores

Descrição

O problema decorre da sanitização inadequada do campo de entrada sql case no endpoint /web/generate.php, permitindo que invasores remotos executem comandos SQL arbitrários e, potencialmente, realizem injeção de comando, o que pode levar à execução remota de código (RCE) sob certas condições.

Recomendações

Para as versões 4.2.6 e anteriores, considere desativar o acesso ao endpoint /web/generate.php até que uma correção adequada seja aplicada e certifique-se de que todos os campos de entrada, especialmente sql case, sejam devidamente sanitizados para evitar injeção de comando e RCE.

Exploit

Correção

RCE

SQL injection

Command Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-89CWE-77

Identificadores relacionados

CVE-2024-35374

GHSA-J6CV-98JX-MRWR

Produtos afetados

Mocodo Online

PT-2024-26467 · Mocodo · Mocodo Online

CVE-2024-35374

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 15