CVE-2024-56829
KrytyczneStreszczenie
Oprogramowanie do zarządzania farmaceutycznego Huang Yaoshi w wersji do 16.0 umożliwia przesyłanie dowolnych plików poprzez wykorzystanie nazwy pliku .asp w elemencie fileName w żądaniu SOAP do /XSDService.asmx.
Ocena ryzyka
Ta podatność może prowadzić do nieautoryzowanego dostępu do systemu oraz potencjalnego wprowadzenia złośliwego oprogramowania, co stwarza poważne zagrożenie dla bezpieczeństwa danych organizacji.
Rekomendacja
Zaleca się aktualizację oprogramowania do najnowszej wersji oraz wdrożenie mechanizmów ograniczających możliwość przesyłania plików, aby zminimalizować ryzyko związane z tą podatnością.
Oryginalny opis (angielski, źródło NVD)
Huang Yaoshi Pharmaceutical Management Software through 16.0 allows arbitrary file upload via a .asp filename in the fileName element of the UploadFile element in a SOAP request to /XSDService.asmx.

