PT-2024-31970 · Webkul · Webkul Krayin Crm
Avihay Eldad
+1
·
Publicado
2024-09-27
·
Atualizado
2024-10-02
·
CVE-2024-46366
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Webkul Krayin CRM versão 1.3.0
Descrição
Uma vulnerabilidade de injeção de modelo no lado do cliente (CSTI) permite que invasores remotos executem código de modelo arbitrário no lado do cliente, injetando uma carga maliciosa durante o processo de criação de leads. Isso pode levar à escalada de privilégios quando a carga é executada, concedendo ao invasor permissões elevadas dentro do sistema CRM.
Recomendações
Para o Webkul Krayin CRM versão 1.3.0, considere desativar o processo de criação de leads até que um patch esteja disponível para impedir a exploração da vulnerabilidade CSTI. Restrinja o acesso ao sistema CRM para minimizar o risco de escalonamento de privilégios. Evite usar a funcionalidade vulnerável de injeção de modelo no processo de criação de leads até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Webkul Krayin Crm