CVE-2024-56908

Nome do Software Vulnerável e Versões Afetadas Versões do Perfex CRM anteriores à 3.2.1

Descrição O problema permite que um atacante autenticado envie uma solicitação HTTP POST manipulada para o endpoint "upload sales file". Ao fornecer entrada maliciosa no parâmetro rel id, combinada com validação de entrada inadequada, o atacante pode contornar restrições e fazer upload de arquivos arbitrários para diretórios de sua escolha, potencialmente levando à execução remota de código ou comprometimento do servidor.

Recomendações Para versões anteriores à 3.2.1, atualize para a versão 3.2.1 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint "upload sales file" ou desabilitar a capacidade de fazer upload de arquivos através deste endpoint até que um patch seja aplicado. Evite usar o parâmetro rel id no endpoint afetado até que o problema seja resolvido.