Plataforma
other
Componente
team
Corregido en
13.5.1
La vulnerabilidad CVE-2024-9922 es una falla de Path Traversal descubierta en Team+, el software de TEAMPLUS TECHNOLOGY. Esta falla permite a atacantes no autenticados leer archivos arbitrarios del sistema, comprometiendo la confidencialidad de la información. Afecta a las versiones 13.5.0 y posteriores hasta la 13.5.*. Una solución es actualizar a la versión 13.5.1.
Un atacante que explote esta vulnerabilidad puede acceder a información sensible almacenada en el sistema donde se ejecuta Team+. Esto podría incluir contraseñas, claves de API, datos de configuración, o incluso código fuente. El acceso no autorizado a estos archivos podría resultar en la divulgación de información confidencial, la modificación de la configuración del sistema, o incluso la ejecución de código malicioso. La severidad de este impacto depende de la sensibilidad de los archivos accesibles y de los privilegios del usuario bajo el cual se ejecuta Team+. La posibilidad de escalar privilegios y obtener control total sobre el sistema es una preocupación real.
La vulnerabilidad CVE-2024-9922 fue publicada el 14 de octubre de 2024. No se ha reportado explotación activa a la fecha. No se encuentra en el KEV de CISA. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad relacionada con esta vulnerabilidad. La disponibilidad de un Proof of Concept (PoC) público podría aumentar el riesgo de explotación.
Organizations utilizing Team+ in environments with direct external access or where internal network segmentation is insufficient are at increased risk. Systems with default configurations or those lacking robust access controls are particularly vulnerable. Shared hosting environments where multiple users share the same server instance also face a heightened risk.
disclosure
Estado del Exploit
EPSS
0.32% (55% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-9922 es actualizar Team+ a la versión 13.5.1 o superior, que incluye la corrección de la vulnerabilidad. Si la actualización inmediata no es posible, se recomienda implementar medidas de seguridad adicionales, como restringir el acceso a la aplicación a usuarios autorizados y monitorear los registros del sistema en busca de actividad sospechosa. Además, se puede considerar la implementación de un Web Application Firewall (WAF) para bloquear solicitudes maliciosas que intenten explotar la vulnerabilidad. Verifique después de la actualización que el parámetro vulnerable ya no permite el acceso a archivos del sistema.
Actualice Team+ a una versión que corrija la vulnerabilidad de path traversal. Consulte el sitio web del proveedor para obtener la última versión y las instrucciones de actualización. Aplique las medidas de seguridad recomendadas por el proveedor para mitigar el riesgo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-9922 is a Path Traversal vulnerability in Team+ that allows unauthenticated attackers to read arbitrary system files, rated HIGH severity (CVSS 7.5).
You are affected if you are running Team+ versions 13.5.0 through 13.5.*. Upgrade to 13.5.1 to resolve the issue.
Upgrade Team+ to version 13.5.1. As a temporary workaround, restrict network access and monitor file system activity.
There are currently no confirmed reports of active exploitation, but the vulnerability is easily exploitable and should be patched promptly.
Refer to the TEAMPLUS TECHNOLOGY security advisory for CVE-2024-9922 on their official website (check their security announcements page).
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.