Katalog CVE

CVE-2024-41617

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Aplikacja Money Manager EX WebApp w wersji 1.2.2 jest podatna na błędną kontrolę dostępu. Funkcja `redirect_if_not_loggedin` w pliku `functions_security.php` nie kończy wykonania skryptu po przekierowaniu nieautoryzowanych użytkowników, co umożliwia atakującym przesyłanie dowolnych plików.

Ocena ryzyka

Ta podatność pozwala nieautoryzowanym atakującym na przesyłanie plików, co może prowadzić do zdalnego wykonania kodu. Może to zagrażać integralności i bezpieczeństwu systemu organizacji.

Rekomendacja

Zaleca się aktualizację aplikacji do najnowszej wersji oraz wprowadzenie dodatkowych mechanizmów kontroli dostępu, aby zapobiec nieautoryzowanemu przesyłaniu plików.

Oryginalny opis (angielski, źródło NVD)

Money Manager EX WebApp (web-money-manager-ex) 1.2.2 is vulnerable to Incorrect Access Control. The `redirect_if_not_loggedin` function in `functions_security.php` fails to terminate script execution after redirecting unauthenticated users. This flaw allows an unauthenticated attacker to upload arbitrary files, potentially leading to Remote Code Execution.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS