Cleo < 5.8.0.21 の無制限のファイル読み取り/アップロード

critical Web App Scanning プラグイン ID 114542

概要

Cleo < 5.8.0.21 の無制限のファイル読み取り/アップロード

説明

5.8.0.21 より前の Cleo Harmony、5.8.0.21 より前の VLTrader、および 5.8.0.21 より前の LexiCom は、認証されていない攻撃者が任意のファイルを読み取ったり、任意のファイルをアップロードしたりできる脆弱性の影響を受けます。これにより、リモートコード実行につながる可能性があります。

ソリューション

Cleo Harmony 5.8.0.21、VLTrader 5.8.0.21、LexiCom 5.8.0.21 または最新版にアップグレードしてください。

参考資料

https://support.cleo.com/hc/en-us/articles/27140294267799-Cleo-Product-Security-Advisory-CVE-2024-50623

https://www.huntress.com/blog/threat-advisory-oh-no-cleo-cleo-software-actively-being-exploited-in-the-wild

プラグインの詳細

深刻度: Critical

ID: 114542

タイプ: remote

ファミリー: Component Vulnerability

公開日: 2024/12/19

更新日: 2024/12/19

スキャン テンプレート: basic, full, pci, scan

リスク情報

VPR

リスクファクター: High

スコア: 7.4

CVSS v2

リスクファクター: Critical

基本値: 10

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2024-50623

CVSS v3

リスクファクター: Critical

基本値: 9.8

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVSS スコアのソース: CVE-2024-50623

脆弱性情報

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2024/10/27

脆弱性公開日: 2024/10/26

CISA の既知の悪用された脆弱性の期限日: 2025/1/3

参照情報

CVE: CVE-2024-50623