PT-2025-6121 · Lumsoft · Lumsoft Erp

0Xgeoffreyw

Publicado

2025-02-11

Atualizado

2025-02-16

CVE-2025-1165

CVSS v2.0

7.5

Alta

Vetor

AV:N/AC:L/Au:N/C:P/I:P/A:P

Nome do Software Vulnerável e Versões Afetadas: Lumsoft ERP versão 8

Descrição: Foi identificada uma vulnerabilidade crítica na função DoUpload/DoWebUpload do arquivo /Api/FileUploadApi.ashx. A manipulação do argumento file resulta em upload irrestrito. É possível executar o ataque remotamente. O exploit foi divulgado publicamente e pode ser utilizado.

Recomendações: Para o Lumsoft ERP versão 8, considere desabilitar a função DoUpload/DoWebUpload no arquivo /Api/FileUploadApi.ashx como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao arquivo /Api/FileUploadApi.ashx para minimizar o risco de exploração. Evite utilizar o argumento file no endpoint da API afetado até que o problema seja resolvido.

Exploit

Correção

Improper Access Control

Unrestricted File Upload

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-284CWE-434

Identificadores relacionados

CVE-2025-1165

Produtos afetados

Lumsoft Erp

PT-2025-6121 · Lumsoft · Lumsoft Erp

CVE-2025-1165

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 11