PT-2024-38347 · Simple Machines · Simplemachines Smf
Fewwords
·
Publicado
2024-08-03
·
Atualizado
2024-09-11
·
CVE-2024-7437
CVSS v2.0
5.5
Média
| Vetor | AV:N/AC:L/Au:S/C:N/I:P/A:P |
Nome do software vulnerável e versões afetadas
SimpleMachines SMF versão 2.1.4
Descrição
Foi encontrada uma falha crítica no componente Delete User Handler, especificamente no arquivo /index.php?action=profile;u=2;area=showalerts;do=remove. A manipulação do argumento
aid leva ao controle inadequado de identificadores de recursos, permitindo ataques remotos. A exploração foi divulgada publicamente e pode ser utilizada, resultando potencialmente em acesso não autorizado e comprometimento do sistema.Recomendações
Para o SimpleMachines SMF versão 2.1.4, aplique o patch imediatamente para evitar a exploração. Além disso, monitore tentativas de exploração para minimizar o risco de acesso não autorizado e comprometimento do sistema. Como solução temporária, considere restringir o acesso ao componente Delete User Handler ou desativar a manipulação do argumento
aid até que um patch seja aplicado.Exploit
Correção
IDOR
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Simplemachines Smf