CVE-2024-54449

Nome do Software Vulnerável e Versões Afetadas LogicalDOC (versões afetadas não especificadas)

Descrição A API da aplicação, utilizada para interação com documentos, contém dois endpoints com uma falha que permite a um atacante autenticado gravar um arquivo com conteúdo controlado em um local arbitrário no sistema de arquivos subjacente. Isso pode ser usado para facilitar a Execução Remota de Código (RCE). A exploração requer uma conta com privilégios de 'leitura' e 'escrita' em pelo menos um documento existente dentro da aplicação. Uma exploração bem-sucedida permitiria a um atacante executar comandos no sistema operacional subjacente do servidor web que executa o LogicalDOC. Os endpoints vulneráveis da API permitem a gravação arbitrária de arquivos. O conteúdo do arquivo é controlado pelo atacante.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.