PT-2024-35433 · Dcme-720+3 · Dcme-720+3
Publicado
2024-11-29
·
Atualizado
2024-12-04
·
CVE-2024-52777
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
DCME-320 versões 7.4.12.90 e anteriores
DCME-520 versões 9.25.5.11 e anteriores
DCME-320-L versões 9.3.5.26 e anteriores
DCME-720 versões 9.1.5.11 e anteriores
Descrição
A vulnerabilidade permite a execução remota de código através do endpoint
/function/system/basic/license update.php. Isso pode ser explorado enviando-se entradas maliciosas para esse endpoint, permitindo potencialmente que um invasor execute código arbitrário no sistema afetado.Recomendações
Para as versões 7.4.12.90 e anteriores do DCME-320, atualize para uma versão posterior à 7.4.12.90.
Para as versões 9.25.5.11 e anteriores do DCME-520, atualize para uma versão posterior à 9.25.5.11.
Para as versões 9.3.5.26 e anteriores do DCME-320-L, atualize para uma versão posterior à 9.3.5.26.
Para as versões 9.1.5.11 e anteriores do DCME-720, atualize para uma versão posterior à 9.1.5.11.
Como solução alternativa temporária, considere restringir o acesso ao endpoint
/function/system/basic/license update.php até que um patch esteja disponível.Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Dcme-320
Dcme-320-L
Dcme-520
Dcme-720