CVE-2024-52958

Nome do software vulnerável e versões afetadas:

iota C.ai Conversational Platform, versões 1.0.0 a 2.1.3

Descrição:

O problema está relacionado a uma vulnerabilidade de verificação inadequada da assinatura criptográfica no gerenciamento de plug-ins. Isso permite que usuários autenticados remotamente carreguem uma DLL maliciosa por meio da função de upload de plug-ins. O número estimado de dispositivos potencialmente afetados não foi especificado. Não há informações sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. Os detalhes técnicos incluem o uso da função de upload de plug-ins para carregar uma DLL maliciosa.

Recomendações:

Para as versões 1.0.0 a 2.1.3, atualize para uma versão que inclua uma correção para a vulnerabilidade de verificação inadequada da assinatura criptográfica no gerenciamento de plug-ins.

Como solução alternativa temporária, considere desativar a função de upload de plug-ins até que um patch esteja disponível.

Restrinja o acesso ao módulo de gerenciamento de plug-ins para minimizar o risco de exploração.