CVE-2024-9003

Nome do software vulnerável e versões afetadas:

JFlow versão 2.0.0

Descrição:

Uma falha afeta a função AttachmentUploadController do componente Attachment Handler, especificamente no arquivo “/WF/Ath/EntityMutliFile Load.do”. A manipulação do argumento oid leva a falhas nos controles de acesso, permitindo ataques remotos. A exploração foi divulgada ao público e pode estar em uso. O fornecedor foi contatado antecipadamente sobre essa divulgação, mas não respondeu de forma alguma.

Recomendações:

Para o JFlow versão 2.0.0, como solução temporária, considere desativar a função AttachmentUploadController até que um patch esteja disponível. Restrinja o acesso ao componente vulnerável Attachment Handler para minimizar o risco de exploração. Evite usar o argumento oid no arquivo afetado “/WF/Ath/EntityMutliFile Load.do” até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.