CVE-2024-8295

Nome do software vulnerável e versões afetadas:

Versões do FeehiCMS até a 2.1.1

Descrição:

Foi identificada uma falha crítica no FeehiCMS, que afeta a função createBanner do arquivo /admin/index.php?r=banner%2Fbanner-create. A manipulação do argumento BannerForm[img] leva ao upload irrestrito. Esta vulnerabilidade pode ser explorada remotamente. A exploração já foi divulgada ao público e pode estar em uso. O fornecedor foi contatado sobre esta divulgação, mas não respondeu.

Recomendações:

Para versões do FeehiCMS até a 2.1.1, como solução temporária, considere desativar a função createBanner até que um patch esteja disponível. Restrinja o acesso ao endpoint /admin/index.php?r=banner%2Fbanner-create para minimizar o risco de exploração. Evite usar o argumento BannerForm[img] no endpoint da API afetado até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.