PT-2024-3160 · Unknown · Backupwordpress
Dk0Pf
+1
·
Publicado
2024-03-27
·
Atualizado
2024-04-29
·
CVE-2024-3034
CVSS v2.0
4.0
Média
| Vetor | AV:N/AC:L/Au:S/C:P/I:N/A:N |
Nome do software vulnerável e versões afetadas:
Versões do BackUpWordPress até a 3.13, inclusive
Descrição:
O problema está relacionado a erros no tratamento do caminho relativo ao diretório ao processar o parâmetro
hmbkp directory browse, permitindo que invasores remotos obtenham acesso não autorizado a informações protegidas. Essa vulnerabilidade permite que invasores autenticados com acesso de nível de administrador ou superior percorram diretórios fora do contexto permitido por meio do parâmetro hmbkp directory browse.Recomendações:
Para versões até a 3.13, inclusive, considere desativar o parâmetro
hmbkp directory browse até que um patch esteja disponível para prevenir ataques de traversal de diretórios. Restrinja o acesso a diretórios confidenciais e certifique-se de que apenas o pessoal necessário tenha acesso de nível de administrador para minimizar o risco de exploração.Correção
Path traversal
Relative Path Traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Backupwordpress