CVE-2024-11992
CriticalSummary
W Quick.CMS w wersji 6.7 występuje podatność na przejście do absolutnej ścieżki, która może umożliwić zdalnym użytkownikom ominięcie zamierzonych ograniczeń i pobranie dowolnego pliku, jeśli ma on odpowiednie uprawnienia poza skonfigurowanym katalogiem dokumentów na serwerze. Wykorzystanie tej podatności pozwala atakującemu na usunięcie plików przechowywanych na serwerze z powodu braku odpowiedniej weryfikacji danych wejściowych dostarczonych przez użytkownika.
Risk Assessment
Organizacja może być narażona na nieautoryzowany dostęp do wrażliwych plików oraz na możliwość ich usunięcia, co może prowadzić do utraty danych i zakłócenia działania systemu.
Recommendation
Zaleca się aktualizację Quick.CMS do najnowszej wersji oraz wdrożenie odpowiednich mechanizmów weryfikacji danych wejściowych, aby zminimalizować ryzyko związane z tą podatnością.
Original NVD description (English source)
Absolute path traversal vulnerability in Quick.CMS, version 6.7, the exploitation of which could allow remote users to bypass the intended restrictions and download any file if it has the appropriate permissions outside of documentroot configured on the server via the aDirFiles%5B0%5D parameter in the admin.php page. This vulnerability allows an attacker to delete files stored on the server due to a lack of proper verification of user-supplied input.

