CVE-2023-53895

Nome do Software Vulnerável e Versões Afetadas PimpMyLog versão 1.7.14

Descrição O software contém uma falha de controle de acesso inadequado que permite que atacantes remotos criem contas de administrador sem autorização através do endpoint de configuração. Os atacantes podem explorar o campo username não sanitizado para injetar JavaScript malicioso, criar uma conta backdoor oculta e potencialmente acessar informações sensíveis de log do lado do servidor e variáveis de ambiente. O endpoint vulnerável é '/configuration'.

Recomendações Aplique sanitização e validação de entrada adequadas ao campo username no endpoint '/configuration'. Restrinja o acesso ao endpoint '/configuration' apenas a pessoal autorizado.