CVE-2022-41573

Nome do Software Vulnerável e Versões Afetadas Ovidentia versão 8.3

Descrição Foi descoberto um problema no recurso de upload de arquivos, que não impede o upload de arquivos executáveis. Um usuário pode fazer upload de um arquivo .png contendo código PHP e, em seguida, renomeá-lo para possuir a extensão .php. O arquivo ficará então acessível em um URI "images/common/" para execução remota de código.

Recomendações Para a versão 8.3 do Ovidentia, considere desativar o recurso de upload de arquivos até que um patch esteja disponível para impedir o upload de arquivos executáveis. Restrinja o acesso ao diretório "images/common/" para minimizar o risco de exploração. Evite permitir que os usuários renomeiem arquivos enviados para possuir extensões executáveis, como .php, até que a questão seja resolvida.