PT-2024-37373 · Phpvibe · Phpvibe
Weikang Fu
·
Publicado
2024-06-17
·
Atualizado
2024-09-16
·
CVE-2024-6083
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas:
PHPVibe versão 11.0.46
Descrição:
Foi identificada uma falha crítica no componente “Página de envio de mídia”, especificamente no arquivo /app/uploading/upload-mp3.php. A manipulação do argumento
file permite o envio irrestrito de arquivos. Essa falha pode ser explorada remotamente. A exploração já foi divulgada publicamente.Recomendações:
Para a versão 11.0.46 do PHPVibe, como solução temporária, considere desativar a funcionalidade de upload de arquivos na Página de Upload de Mídia até que um patch esteja disponível. Restrinja o acesso ao arquivo /app/uploading/upload-mp3.php para minimizar o risco de exploração. Evite usar o argumento
file na funcionalidade de upload afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.Exploit
Correção
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Phpvibe