CVE-2024-8880

Nome do software vulnerável e versões afetadas:

playSMS, versões 1.4.4 a 1.4.7

Descrição:

Foi identificada uma vulnerabilidade crítica no playSMS, afetando uma função desconhecida do arquivo /playsms/index.php?app=main&inc=core auth&route=forgot&op=forgot do componente Template Handler. A manipulação dos argumentos username, email ou captcha leva à injeção de código. É possível lançar o ataque remotamente. A complexidade de um ataque é bastante alta, e a explorabilidade é considerada difícil. A exploração foi divulgada ao público e pode ser utilizada.

Recomendações:

Para resolver o problema, atualize o componente afetado para a versão >=1.4.4 ou use o pacote playsms/tpl mais recente. Como solução temporária, considere restringir o acesso ao componente Template Handler vulnerável até que um patch esteja disponível. Evite usar os argumentos username, email ou captcha no endpoint da API afetado até que o problema seja resolvido.