CVE-2024-49780

Nome do Software Vulnerável e Versões Afetadas IBM OpenPages with Watson versões 8.3 até 9.0

Descrição A falha permite que um atacante remoto realize traversão de diretórios no sistema. Um atacante com privilégios para executar a Importação de Configuração poderia enviar uma solicitação HTTP especialmente elaborada contendo sequências de "ponto ponto" (/../) no parâmetro file name utilizado na Importação de Configuração para gravar arquivos em locais arbitrários fora do diretório especificado e possivelmente sobrescrever arquivos arbitrários.

Recomendações Para as versões 8.3 e 9.0, considere desabilitar o recurso de Importação de Configuração até que um patch esteja disponível para prevenir ataques de traversão de diretório. Restrinja o acesso ao módulo de Importação de Configuração para minimizar o risco de exploração. Evite utilizar o parâmetro file name no endpoint de Importação de Configuração afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.