CVE-2025-3169

Nome do Software Vulnerável e Versões Afetadas Versões do Projeqtor até 12.0.2

Descrição Um problema crítico afeta uma funcionalidade desconhecida do arquivo /tool/saveAttachment.php, onde a manipulação do argumento attachmentFiles resulta em upload sem restrições. O ataque pode ser realizado remotamente, mas a complexidade é relativamente alta e a exploração é conhecida por ser difícil. O fornecedor observa que este problema só pode ser explorado em instâncias não instaladas de forma segura, pois o diretório de anexos deve estar fora do alcance da web.

Recomendações Para as versões do Projeqtor até 12.0.2, atualize para a versão 12.0.3 para corrigir este problema. Como medida temporária, considere restringir o acesso ao arquivo /tool/saveAttachment.php para minimizar o risco de exploração. Garanta que o diretório de anexos esteja fora do alcance da web, conforme aconselhado durante a instalação do produto, para impedir que arquivos executáveis sejam executados através da web.