PT-2025-2049 · Unknown · Zerowdd Myblog
Lvzc1
+1
·
Publicado
2025-01-08
·
Atualizado
2025-01-09
·
CVE-2024-13191
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
ZeroWdd myblog versão 1.0
Descrição
Um problema crítico foi identificado na função de upload do arquivo src/main/java/com/wdd/myblog/controller/admin/uploadController.java. A manipulação do argumento
file resulta em upload irrestrito. O ataque pode ser iniciado remotamente. O exploit foi divulgado publicamente e pode ser utilizado.Recomendações
Para o ZeroWdd myblog versão 1.0, como medida temporária, considere desativar a função de upload no arquivo
uploadController.java até que um patch esteja disponível. Restrinja o acesso ao arquivo src/main/java/com/wdd/myblog/controller/admin/uploadController.java para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.Exploit
Improper Access Control
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Zerowdd Myblog