PT-2024-28374 · Asial · Jpgraph Professional
Alexandre Droullã©
·
Publicado
2024-07-04
·
Atualizado
2025-09-02
·
CVE-2024-39165
CVSS v3.1
9.8
Crítica
| Vetor | AC:L/AV:N/A:H/C:H/I:H/PR:N/S:U/UI:N |
Nome do software vulnerável e versões afetadas
Asial JpGraph Professional versões 4.2.6-pro e anteriores
Descrição
A vulnerabilidade permite que invasores remotos executem código arbitrário por meio de uma carga de PHP no parâmetro
data, em conjunto com um nome de arquivo .php no parâmetro filename. Isso ocorre porque uma pasta QR/demoapp desnecessária é fornecida com o produto.Recomendações
Para as versões 4.2.6-pro e anteriores do Asial JpGraph Professional, considere remover ou restringir o acesso à pasta QR/demoapp como uma solução temporária até que um patch esteja disponível. Evite usar o parâmetro
data em conjunto com um nome de arquivo .php no parâmetro filename no endpoint da API afetado até que o problema seja resolvido.Correção
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jpgraph Professional