CVE-2024-50623

CVSS 9.8 CRITICALEPSS 98.5%● KEVCWE-434

En resumen

Estos productos permiten la carga de archivos sin validación adecuada, lo que permite a los atacantes subir archivos maliciosos y ejecutar código en el servidor. Esta es una falla crítica porque otorga a los atacantes control total sobre el sistema afectado.

Detalle técnico

Vulnerabilidad CWE-434 de carga de archivo sin restricciones en versiones anteriores a 5.8.0.21 de Cleo Harmony, VLTrader y LexiCom permite que atacantes carguen archivos arbitrarios sin validación de extensión o contenido, resultando en ejecución remota de código. El ataque requiere acceso a la interfaz de carga pero no necesita privilegios especiales ni interacción del usuario.

Resumen generado y traducido por IA a partir de la descripción oficial.

In Cleo Harmony before 5.8.0.21, VLTrader before 5.8.0.21, and LexiCom before 5.8.0.21, there is an unrestricted file upload and download that could lead to remote code execution.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Productos afectados

n/a · n/a

PoCs públicas encontradas — 4

githubgithub.com/watchtowrlabs/CVE-2024-50623★ 25 githubgithub.com/verylazytech/CVE-2024-50623★ 7 githubgithub.com/iSee857/Cleo-CVE-2024-50623-PoC★ 5 githubgithub.com/congdong007/CVE-2024-50623-poc★ 0

⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://support.cleo.com/hc/en-us/articles/27140294267799-Cleo-Product-Security-Advisory https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2024-50623