PT-2024-38271 · Unknown+1 · Youdiancms+1
Mstir
+1
·
Publicado
2024-07-31
·
Atualizado
2024-08-23
·
CVE-2024-7329
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
YouDianCMS versão 7
Descrição
Foi identificada uma falha crítica em uma função desconhecida do arquivo /Public/ckeditor/plugins/multiimage/dialogs/image upload.php. A manipulação do argumento
files permite o upload irrestrito de arquivos. É possível executar o ataque remotamente. A vulnerabilidade foi divulgada publicamente e pode estar sendo explorada. O fornecedor foi contatado antecipadamente sobre essa divulgação, mas não respondeu de forma alguma.Recomendações
Para o YouDianCMS versão 7, considere desativar a funcionalidade de upload de arquivos no arquivo
/Public/ckeditor/plugins/multiimage/dialogs/image upload.php até que uma correção esteja disponível. Restrinja o acesso a este arquivo para minimizar o risco de exploração. Evite usar o argumento files no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.Exploit
Correção
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ckeditor
Youdiancms