CVE-2024-8409

Nome do software vulnerável e versões afetadas:

ABCD ABCD2 versões 2.2.0-beta-1 e anteriores

Descrição:

Foi encontrada uma falha no ABCD ABCD2, afetando uma parte desconhecida do arquivo /common/show image.php. A manipulação do argumento image leva a um traversal de caminho, permitindo que um invasor acesse arquivos fora do diretório pretendido usando ‘../filedir’. Essa falha pode ser explorada remotamente. A exploração foi divulgada publicamente e pode ser utilizada. O fornecedor foi contatado sobre essa divulgação, mas não respondeu.

Recomendações:

Para as versões 2.2.0-beta-1 e anteriores, como solução temporária, considere desativar o arquivo /common/show image.php até que um patch esteja disponível. Restrinja o acesso a este arquivo para minimizar o risco de exploração. Evite usar o argumento image no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.