PT-2026-55262 · Yonyou · Ksoa
Publicado
2026-07-02
·
Atualizado
2026-07-02
·
CVE-2022-50973
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Yonyou KSOA versão 9.0
Description
Um problema de upload arbitrário de arquivos não autenticado existe no servlet
com.sksoft.bill.ImageUpload. Atacantes não autenticados podem fazer o upload de arquivos arbitrários enviando uma requisição POST para o endpoint sem autenticação ou validação de tipo de arquivo, extensão ou conteúdo. Ao especificar um nome de arquivo e um caminho de raiz maliciosos, um atacante pode fazer o upload de um webshell JSP para o diretório pictures, que é então executado pelo servidor web, resultando em execução remota de código. Evidências de exploração foram observadas pela primeira vez pela Shadowserver Foundation em 07-11-2023 (UTC).Recommendations
No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.
Exploit
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ksoa