PT-2024-38849 · Chengdu Everbrite Network Technology · Beikeshop
Wanglun
·
Publicado
2024-08-26
·
Atualizado
2025-11-24
·
CVE-2024-8164
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas:
Chengdu Everbrite Network Technology BeikeShop, versões até 1.5.5
Descrição:
Foi identificada uma falha crítica que afeta a função
rename do arquivo /Admin/Http/Controllers/FileManagerController.php. A manipulação do argumento new name permite o upload sem restrições. Essa falha pode ser explorada remotamente.Recomendações:
Para versões até 1.5.5, como solução temporária, considere desativar a função
rename do arquivo FileManagerController.php até que um patch esteja disponível. Restrinja o acesso ao arquivo /Admin/Http/Controllers/FileManagerController.php para minimizar o risco de exploração. Evite usar o argumento new name na função afetada até que a falha seja resolvida.No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Improper Access Control
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Beikeshop