PT-2024-32807 · Idurar · Idurar
Dominator98
+1
·
Publicado
2024-10-04
·
Atualizado
2024-11-13
·
CVE-2024-47769
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
IDURAR (versões afetadas não especificadas)
Descrição
A vulnerabilidade está presente no arquivo corePublicRouter.js do IDURAR, um software de código aberto de ERP, CRM, contabilidade e faturamento. Um endpoint público está acessível a usuários não autenticados, e as entradas do usuário são anexadas diretamente à instrução JOIN sem verificações, permitindo que invasores enviem cargas maliciosas codificadas em URL. Isso possibilita a fuga da estrutura de diretórios para ler arquivos do sistema, adicionando uma string codificada em um local de subcaminho.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Path traversal
Relative Path Traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Idurar