PT-2024-38486 · Unknown · Projectsend

Casp3R0X0

Publicado

2024-08-11

Atualizado

2025-01-13

CVE-2024-7658

CVSS v3.1

5.3

Média

Vetor

AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Nome do software vulnerável e versões afetadas

Versões do ProjectSend até a r1605

Descrição

Foi encontrada uma vulnerabilidade no ProjectSend, afetando a função get preview do arquivo process.php. Esse problema leva ao controle inadequado de identificadores de recursos e pode ser iniciado remotamente. O número estimado de dispositivos potencialmente afetados não foi fornecido. Não há informações sobre incidentes reais em que esse problema tenha sido explorado.

Recomendações

Para versões do ProjectSend até r1605, atualize para a versão r1720 para resolver este problema. Como solução temporária, considere desativar a função get preview do arquivo process.php até que o patch seja aplicado. Restrinja o acesso ao arquivo process.php para minimizar o risco de exploração.

Correção

IDOR

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-639CWE-99

Identificadores relacionados

CVE-2024-7658

Produtos afetados

Projectsend

PT-2024-38486 · Unknown · Projectsend

CVE-2024-7658

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 10