PT-2024-33316 · Snipe-It · Snipe-It
Mickaël Benassouli
+1
·
Publicado
2024-10-10
·
Atualizado
2025-01-07
·
CVE-2024-48987
CVSS v4.0
8.6
Alta
| Vetor | AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do Snipe-IT anteriores à 7.0.10
Descrição
A vulnerabilidade permite a execução remota de código quando um invasor conhece a
APP KEY, que está associada à serialização de cookies. A situação é agravada pela disponibilidade de arquivos .env no repositório do produto que contêm valores padrão para APP KEY.Recomendações
Para versões anteriores à 7.0.10, atualize para a versão 7.0.10 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à
APP KEY e garantir que os arquivos .env não contenham valores padrão.Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Snipe-It