Vulnerabilidade de Execução Remota de Código por Transposição de Diretório no doPostUploadfiles do Visualware MyConnection Server

Um atacante explorando com sucesso esta vulnerabilidade pode obter controle total sobre o servidor MyConnection Server. Isso pode resultar no roubo de dados confidenciais, modificação de informações críticas, interrupção do serviço e até mesmo no uso do servidor para lançar ataques a outros sistemas. A possibilidade de bypass de autenticação aumenta significativamente o risco, permitindo que atacantes não autenticados executem código malicioso. A exploração bem-sucedida pode levar a um comprometimento completo do ambiente, com potencial para impacto em toda a organização.

Organizations utilizing MyConnection Server for document management or collaboration are at risk. Specifically, deployments with weak authentication policies or those that allow unrestricted file uploads are particularly vulnerable. Shared hosting environments where multiple users share the same server instance are also at increased risk, as a compromise of one user could potentially lead to a compromise of the entire server.

• windows / server: Monitor event logs for unusual process creation events, particularly those involving file uploads or execution. Use Sysinternals Process Monitor to track file access patterns related to the MyConnection Server process. • linux / server: Use auditd to monitor file access and modification events related to the MyConnection Server installation directory. Filter journalctl for errors or warnings related to file uploads. • generic web: Monitor access logs for requests containing suspicious file extensions or unusual characters in the file path. Use curl to test file upload endpoints with various payloads to identify potential vulnerabilities. • database (mysql, redis, mongodb, postgresql): N/A - This vulnerability does not directly impact database systems. • other: Review Visualware's security advisories and documentation for specific detection signatures or recommendations.

1. 2024-05-03Disclosure

   disclosure

1. Reservado2023-09-06
2. Publicada2024-05-03
3. Modificada2024-08-02
4. EPSS atualizado2026-04-02

A correção oficial para esta vulnerabilidade deve ser aplicada o mais rápido possível. Caso a atualização imediata não seja possível devido a problemas de compatibilidade ou tempo de inatividade, considere implementar medidas de mitigação temporárias. Isso pode incluir a configuração de um Web Application Firewall (WAF) para bloquear solicitações maliciosas direcionadas ao endpoint vulnerável. Além disso, revise e reforce os mecanismos de autenticação existentes para dificultar o bypass. Monitore os logs do servidor em busca de atividades suspeitas e implemente regras de detecção para identificar tentativas de exploração. Após a aplicação da correção, confirme a mitigação verificando se o endpoint vulnerável não está mais acessível e se as tentativas de exploração são bloqueadas.