PT-2024-26886 · Zammad · Zammad
Michael F. Schönitzer
·
Publicado
2024-05-19
·
Atualizado
2024-07-03
·
CVE-2024-36078
CVSS v3.1
6.7
Média
| Vetor | AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Zammad anteriores à 6.3.1
Descrição
Uma gem Ruby incluída no Zammad é instalada com permissões de gravação para todos os usuários, permitindo que um invasor local no servidor modifique os arquivos da gem e injete código arbitrário nos processos do Zammad. Esses processos são executados com o ambiente e as permissões do usuário do Zammad.
Recomendações
Para versões anteriores à 6.3.1, atualize para a versão 6.3.1 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso de gravação aos arquivos da gem Ruby para impedir a modificação por usuários não autorizados.
Correção
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Zammad