PT-2024-28721 · Solara · Solara
Sunrisexu
·
Publicado
2024-07-12
·
Atualizado
2025-03-10
·
CVE-2024-39903
CVSS v3.1
8.6
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L |
Nome do software vulnerável e versões afetadas
Versões do Solara anteriores à 1.35.1
Descrição
Foi identificada uma vulnerabilidade de Inclusão de Arquivo Local (LFI) no Solara, que decorre da falha do aplicativo em validar adequadamente fragmentos de URI para sequências de traversal de diretório, como ‘../’, ao servir arquivos estáticos. Um invasor pode explorar essa falha manipulando a parte do fragmento da URI para ler arquivos arbitrários no sistema de arquivos local.
Recomendações
Para versões anteriores à 1.35.1, atualize para a versão 1.35.1 para resolver o problema. Como solução temporária, considere restringir o acesso a arquivos estáticos para minimizar o risco de exploração. Evite usar sequências de traversal de diretório, como ‘../’, em fragmentos de URI até que o problema seja resolvido.
Exploit
Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Solara