PT-2024-37508 · Sourcecodester · Sourcecodester Simple Online Bidding System
Fulou
+1
·
Publicado
2024-06-24
·
Atualizado
2024-09-06
·
CVE-2024-6280
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas:
SourceCodester Simple Online Bidding System versão 1.0
Descrição:
Uma falha crítica afeta o arquivo /admin/ajax.php?action=save settings, onde a manipulação do argumento
img permite o upload irrestrito de arquivos. Isso pode ser iniciado remotamente. A falha foi divulgada publicamente e pode ser explorada.Recomendações:
Para o SourceCodester Simple Online Bidding System versão 1.0, como solução temporária, considere restringir o acesso ao arquivo /admin/ajax.php?action=save settings para minimizar o risco de exploração. Evite usar o argumento
img no endpoint da API afetado até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.Exploit
Correção
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Sourcecodester Simple Online Bidding System