PT-2024-28272 · Studio 42 · Elfinder
Vsevolod Shamov
·
Publicado
2024-07-30
·
Atualizado
2025-04-28
·
CVE-2024-38909
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Studio 42 elFinder versão 2.1.64
Descrição
A vulnerabilidade permite que um invasor arbitrário exponha informações confidenciais e execute código remotamente (RCE) ao copiar arquivos com extensões não autorizadas entre diretórios do servidor. Isso se deve a um controle de acesso incorreto.
Recomendações
Para o Studio 42 elFinder versão 2.1.64, considere restringir as operações de cópia de arquivos entre diretórios do servidor para impedir o acesso não autorizado até que uma correção esteja disponível. Como solução temporária, restrinja o acesso a arquivos e diretórios confidenciais para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
RCE
Improper Access Control
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Elfinder