CVE-2024-41617
KrytyczneStreszczenie
Aplikacja Money Manager EX WebApp w wersji 1.2.2 jest podatna na błędną kontrolę dostępu. Funkcja `redirect_if_not_loggedin` w pliku `functions_security.php` nie kończy wykonania skryptu po przekierowaniu nieautoryzowanych użytkowników, co umożliwia atakującym przesyłanie dowolnych plików.
Ocena ryzyka
Ta podatność pozwala nieautoryzowanym atakującym na przesyłanie plików, co może prowadzić do zdalnego wykonania kodu. Może to zagrażać integralności i bezpieczeństwu systemu organizacji.
Rekomendacja
Zaleca się aktualizację aplikacji do najnowszej wersji oraz wprowadzenie dodatkowych mechanizmów kontroli dostępu, aby zapobiec nieautoryzowanemu przesyłaniu plików.
Oryginalny opis (angielski, źródło NVD)
Money Manager EX WebApp (web-money-manager-ex) 1.2.2 is vulnerable to Incorrect Access Control. The `redirect_if_not_loggedin` function in `functions_security.php` fails to terminate script execution after redirecting unauthenticated users. This flaw allows an unauthenticated attacker to upload arbitrary files, potentially leading to Remote Code Execution.

