Plataforma
other
Componente
allegra
Corrigido em
7.5.1
Uma vulnerabilidade de Directory Traversal foi descoberta em Allegra, permitindo que atacantes remotos divulguem informações sensíveis. A falha reside na falta de validação adequada do caminho fornecido pelo usuário no método getFileContentAsString. Versões afetadas incluem 7.5.0 build 29 e 7.5.0 build 29. A correção está disponível na versão 7.5.1.
Um atacante pode explorar esta vulnerabilidade para acessar arquivos e diretórios no sistema de arquivos do servidor Allegra, potencialmente expondo dados confidenciais como arquivos de configuração, logs ou informações de usuários. A autenticação é necessária para explorar a vulnerabilidade, mas o mecanismo de registro do Allegra pode ser usado para criar um novo usuário com privilégios suficientes para realizar o ataque. O impacto pode ser significativo, levando à exposição de dados sensíveis e comprometimento da integridade do sistema.
A vulnerabilidade foi publicada em 2024-11-22. Não há informações disponíveis sobre exploração ativa ou presença na KEV. A ausência de um Proof of Concept (PoC) público reduz o risco imediato, mas a facilidade de exploração inerente a vulnerabilidades de Directory Traversal exige atenção.
Organizations deploying Allegra, particularly those with custom integrations or extensions that rely on file access, are at risk. Shared hosting environments where multiple users share the same Allegra instance are also particularly vulnerable, as a compromised user account could be leveraged to exploit this flaw.
disclosure
Status do Exploit
EPSS
0.94% (percentil 76%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o Allegra para a versão 7.5.1, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao servidor Allegra e monitorar os logs em busca de atividades suspeitas. Implementar regras de firewall para bloquear o acesso não autorizado aos diretórios sensíveis também pode ajudar a reduzir o risco. Após a atualização, confirme a correção verificando se o método getFileContentAsString agora valida corretamente os caminhos de arquivo.
Actualice Allegra a la versión 7.5.1 o posterior. Esta versión corrige la vulnerabilidad de recorrido de directorios en el método getFileContentAsString. La actualización impedirá que atacantes remotos divulguen información confidencial.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É uma vulnerabilidade que permite a divulgação de informações sensíveis em Allegra devido à falta de validação de caminho, permitindo acesso não autorizado a arquivos.
Se você estiver usando Allegra nas versões 7.5.0 build 29 ou 7.5.0 build 29, você está afetado. Verifique sua versão e atualize.
Atualize o Allegra para a versão 7.5.1. Se a atualização não for imediata, implemente medidas de segurança adicionais, como restrição de acesso e monitoramento de logs.
Atualmente, não há informações sobre exploração ativa, mas a vulnerabilidade requer atenção devido à sua natureza.
Consulte o site oficial do Allegra ou os canais de comunicação da empresa para obter o advisory oficial e as instruções de atualização.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.