PT-2024-27049 · Nukeviet+1 · Nukeviet+1
Publicado
2024-06-10
·
Atualizado
2025-09-15
·
CVE-2024-36528
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
nukeviet versões 4.5 e anteriores
nukeviet-egov versões 1.2.02 e anteriores
Descrição
O problema está relacionado a uma vulnerabilidade de deserialização, que pode resultar na execução de código. Isso pode ocorrer por meio dos pontos de extremidade da API “/admin/extensions/download.php” e “/admin/extensions/upload.php”.
Recomendações
Para as versões 4.5 e anteriores do nukeviet, considere desativar o acesso aos pontos de extremidade da API “/admin/extensions/download.php” e “/admin/extensions/upload.php” até que um patch esteja disponível.
Para as versões 1.2.02 e anteriores do nukeviet-egov, restrinja o acesso aos pontos de extremidade da API “/admin/extensions/download.php” e “/admin/extensions/upload.php” para minimizar o risco de exploração.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Nukeviet
Nukeviet-Egov