CVE-2025-1646

Nome do Software Vulnerável e Versões Afetadas Lumsoft ERP versão 8

Descrição Uma falha crítica foi identificada no Lumsoft ERP 8, afetando alguma funcionalidade desconhecida do arquivo "/Api/TinyMce/UploadAjaxAPI.ashx" do componente ASPX File Handler. A manipulação do argumento file resulta em upload sem restrições. O ataque pode ser executado remotamente. O exploit foi divulgado publicamente e pode ser utilizado. O fornecedor foi contatado antecipadamente sobre esta divulgação, mas não respondeu de nenhuma forma.

Recomendações Para o Lumsoft ERP versão 8, como medida temporária (workaround), considere desabilitar o arquivo "/Api/TinyMce/UploadAjaxAPI.ashx" ou restringir o acesso a ele até que um patch esteja disponível. Evite utilizar o argumento file no endpoint da API afetado até que a falha seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.