CVE-2024-56829

Nome do Software Vulnerável e Versões Afetadas Huang Yaoshi Pharmaceutical Management Software versões até a 16.0

Descrição A falha permite o upload arbitrário de arquivos através de um nome de arquivo .asp no elemento fileName do elemento UploadFile em uma requisição SOAP para "/XSDService.asmx". Isso possibilita que potenciais atacantes carreguem arquivos maliciosos, o que pode levar a explorações adicionais.

Recomendações Para versões até a 16.0, considere desativar o elemento UploadFile em requisições SOAP para "/XSDService.asmx" até que uma correção esteja disponível. Restrinja o acesso ao endpoint /XSDService.asmx para minimizar o risco de exploração. Evite usar o elemento fileName com nomes de arquivo .asp no endpoint de API afetado até que a falha seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.