CVE-2022-50993

Nome do Software Vulnerável e Versões Afetadas Weaver (Fanwei) E-office versões anteriores a 10.0 20221201

Descrição Um problema de upload arbitrário de arquivos não autenticado existe no endpoint 'OfficeServer.php'. Atacantes remotos podem carregar arquivos maliciosos, como webshells PHP, para o diretório Document enviando requisições POST multipart com nomes de arquivos arbitrários e tipos de conteúdo disfarçados. Esses arquivos podem então ser executados via requisições HTTP GET para alcançar a execução remota de código como o usuário do servidor web. Evidências de exploração foram observadas pela primeira vez pela Shadowserver Foundation em 10-10-2022 (UTC).

Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.