CVE-2024-56829
CriticalSummary
Oprogramowanie do zarządzania farmaceutycznego Huang Yaoshi w wersji do 16.0 umożliwia przesyłanie dowolnych plików poprzez wykorzystanie nazwy pliku .asp w elemencie fileName w żądaniu SOAP do /XSDService.asmx.
Risk Assessment
Ta podatność może prowadzić do nieautoryzowanego dostępu do systemu oraz potencjalnego wprowadzenia złośliwego oprogramowania, co stwarza poważne zagrożenie dla bezpieczeństwa danych organizacji.
Recommendation
Zaleca się aktualizację oprogramowania do najnowszej wersji oraz wdrożenie mechanizmów ograniczających możliwość przesyłania plików, aby zminimalizować ryzyko związane z tą podatnością.
Original NVD description (English source)
Huang Yaoshi Pharmaceutical Management Software through 16.0 allows arbitrary file upload via a .asp filename in the fileName element of the UploadFile element in a SOAP request to /XSDService.asmx.

