PT-2024-31196 · Sugarsync · Sugarsync
Jorge Manuel Lozano Gómez
·
Publicado
2024-05-03
·
Atualizado
2024-05-03
·
CVE-2024-4461
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do SugarSync anteriores à 4.1.3
Descrição
O problema está relacionado a uma vulnerabilidade em caminhos ou itens de pesquisa sem aspas. Essa configuração incorreta poderia permitir que um usuário local não autorizado injetasse código arbitrário no caminho do serviço sem aspas, resultando em escalonamento de privilégios.
Recomendações
Para versões anteriores à 4.1.3, atualize para a versão 4.1.3 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao caminho do serviço para minimizar o risco de exploração.
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Sugarsync