CVE-2024-57170

Nome do Software Vulnerável e Versões Afetadas SOPlanning versão 1.53.00

Descrição A questão refere-se a um problema de traversal de diretório no endpoint da API "/process/upload.php". O parâmetro fichier to delete permite que atacantes autenticados especifiquem caminhos de arquivo contendo sequências de traversal de diretório, como "../", possibilitando-lhes excluir arquivos arbitrários fora do diretório de upload previsto. Isso poderia potencialmente levar à negação de serviço ou à interrupção da funcionalidade da aplicação.

Recomendações Para o SOPlanning versão 1.53.00, como medida de contorno temporária, considere restringir o acesso ao endpoint da API "/process/upload.php" ou desabilitar o parâmetro fichier to delete para minimizar o risco de exploração. Adicionalmente, restrinja a capacidade de especificar caminhos de arquivo contendo sequências de traversal de diretório para impedir que atacantes excluam arquivos arbitrários. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.