Plateforme
other
Composant
team
Corrigé dans
13.5.1
La vulnérabilité CVE-2024-9922 affecte le logiciel Team+ de TEAMPLUS TECHNOLOGY. Elle se manifeste par un défaut de validation d'un paramètre spécifique d'une page, permettant à un attaquant non authentifié d'accéder à des fichiers système sensibles. Les versions concernées sont les versions 13.5.0 et toutes les versions comprises entre 13.5.0 et 13.5.*. Une correction est disponible dans la version 13.5.1.
Cette vulnérabilité de traversal de chemin (Path Traversal) représente un risque significatif pour la sécurité des systèmes hébergeant Team+. Un attaquant exploitant cette faille peut lire des fichiers système arbitraires, potentiellement révélant des informations confidentielles telles que des mots de passe, des clés de chiffrement, des configurations sensibles ou même du code source. L'accès à ces informations pourrait permettre à l'attaquant de compromettre davantage le système, d'obtenir un contrôle total ou d'utiliser les données volées à des fins malveillantes. Bien qu'il n'y ait pas de rapports d'exploitation publique connus à ce jour, la nature de la vulnérabilité et sa facilité d'exploitation potentielle en font une cible attrayante pour les acteurs malveillants.
La vulnérabilité CVE-2024-9922 a été publiée le 14 octobre 2024. Il n'y a pas d'indication d'une inscription sur le KEV (CISA Known Exploited Vulnerabilities) à ce jour. Aucun proof-of-concept (PoC) public n'est actuellement disponible, mais la nature simple de la vulnérabilité suggère qu'un tel PoC pourrait être développé rapidement. Il est conseillé de surveiller les sources d'informations sur les menaces pour détecter toute activité d'exploitation.
Organizations utilizing Team+ in environments with direct external access or where internal network segmentation is insufficient are at increased risk. Systems with default configurations or those lacking robust access controls are particularly vulnerable. Shared hosting environments where multiple users share the same server instance also face a heightened risk.
disclosure
Statut de l'Exploit
EPSS
0.32% (percentile 55%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Team+ vers la version 13.5.1, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une solution de contournement temporaire pourrait consister à restreindre l'accès réseau à l'application Team+ et à surveiller attentivement les journaux d'accès pour détecter toute activité suspecte. Il est également recommandé de mettre en œuvre des règles de pare-feu applicatif (WAF) pour bloquer les requêtes contenant des séquences de traversal de chemin (par exemple, '..'). Après la mise à jour, vérifiez l'intégrité des fichiers système et effectuez des tests de pénétration pour confirmer que la vulnérabilité a été corrigée.
Actualice Team+ a una versión que corrija la vulnerabilidad de path traversal. Consulte el sitio web del proveedor para obtener la última versión y las instrucciones de actualización. Aplique las medidas de seguridad recomendadas por el proveedor para mitigar el riesgo.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-9922 is a Path Traversal vulnerability in Team+ that allows unauthenticated attackers to read arbitrary system files, rated HIGH severity (CVSS 7.5).
You are affected if you are running Team+ versions 13.5.0 through 13.5.*. Upgrade to 13.5.1 to resolve the issue.
Upgrade Team+ to version 13.5.1. As a temporary workaround, restrict network access and monitor file system activity.
There are currently no confirmed reports of active exploitation, but the vulnerability is easily exploitable and should be patched promptly.
Refer to the TEAMPLUS TECHNOLOGY security advisory for CVE-2024-9922 on their official website (check their security announcements page).
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.