PT-2024-28789 · Closed Loop Technology · Closed-Loop Technology Cless Server
Brendon Teo
·
Publicado
2024-09-19
·
Atualizado
2024-09-25
·
CVE-2024-40125
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Closed-Loop Technology CLESS Server versão 4.5.2
Descrição
Uma vulnerabilidade de upload de arquivos arbitrários na função Media Manager permite que invasores executem código arbitrário por meio do upload de um arquivo PHP malicioso para o endpoint de upload.
Recomendações
Para a versão 4.5.2, considere desativar a função Media Manager até que uma correção esteja disponível para impedir uploads arbitrários de arquivos e a subsequente execução de código. Restrinja o acesso ao endpoint de upload para minimizar o risco de exploração. Evite usar a função Media Manager na versão afetada até que o problema seja resolvido.
Exploit
Correção
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Closed-Loop Technology Cless Server