PT-2024-36569 · Pendoc · Pendoc
Jorianwoltjer
·
Publicado
2024-12-11
·
Atualizado
2024-12-13
·
CVE-2024-55652
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do PenDoc anteriores ao commit 1d4219c596f4f518798492e48386a20c6e9a2fe6
Descrição
O PenDoc é um aplicativo de geração de relatórios de testes de penetração. Um invasor pode criar um modelo docx malicioso contendo expressões que escapam da sandbox do JavaScript para executar código arbitrário no sistema. Por padrão, apenas usuários com a função
admin podem criar ou atualizar modelos. Um invasor capaz de controlar o conteúdo do documento modelo pode executar código arbitrário no sistema.Recomendações
Para versões anteriores ao commit 1d4219c596f4f518798492e48386a20c6e9a2fe6, atualize para uma versão que inclua o commit 1d4219c596f4f518798492e48386a20c6e9a2fe6 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à funcionalidade de criação e atualização de modelos para minimizar o risco de exploração. Evite usar modelos docx maliciosos até que o problema seja resolvido.
Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Pendoc