CVE-2024-8707

Nome do software vulnerável e versões afetadas:

Versões do Yunke Online School System até a 3.0.6

Descrição:

Foi encontrada uma vulnerabilidade no Yunke Online School System, afetando a função downfile do arquivo application/admin/controller/Appadmin.php. A manipulação do argumento url leva a um traversal de caminho. O ataque pode ser iniciado remotamente. A exploração foi divulgada ao público e pode estar em uso.

Recomendações:

Para versões até 3.0.6, como solução temporária, considere desativar a função downfile até que um patch esteja disponível. Restrinja o acesso ao arquivo application/admin/controller/Appadmin.php para minimizar o risco de exploração. Evite usar o argumento url na função afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.