Plataforma
other
Componente
allegra
Corrigido em
7.5.1
Uma vulnerabilidade de Directory Traversal foi descoberta no Allegra, permitindo que atacantes remotos divulguem informações sensíveis. A falha reside na forma como o método serveMathJaxLibraries lida com caminhos de arquivo fornecidos pelo usuário, sem a devida validação. Versões afetadas incluem 7.5.0 build 29 e 7.5.0 build 29. A correção está disponível na versão 7.5.1.
Um atacante pode explorar esta vulnerabilidade para acessar arquivos confidenciais no servidor Allegra, como arquivos de configuração contendo credenciais armazenadas. A ausência de autenticação necessária para a exploração aumenta o risco, permitindo que qualquer usuário remoto tente acessar esses arquivos. A divulgação de credenciais pode levar a um comprometimento ainda maior do sistema, permitindo que o atacante obtenha acesso privilegiado e execute ações maliciosas. A vulnerabilidade se assemelha a outros casos de Directory Traversal onde a falta de validação de entrada leva à exposição de dados sensíveis.
A vulnerabilidade foi relatada à ZDI (Zero Day Initiative) sob o identificador ZDI-CAN-22532. A data de publicação do CVE é 2024-11-22. Não há informações disponíveis sobre a exploração ativa desta vulnerabilidade em campanhas direcionadas. A probabilidade de exploração é considerada média, dada a facilidade de exploração e a ausência de autenticação necessária.
Organizations using Allegra versions 7.5.0 build 29 and earlier, particularly those hosting Allegra on publicly accessible servers or shared hosting environments, are at significant risk. Systems with weak file permissions or inadequate access controls are also more vulnerable.
disclosure
Status do Exploit
EPSS
1.85% (percentil 83%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o Allegra para a versão 7.5.1, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao servidor Allegra através de um firewall e monitorar os logs do sistema em busca de atividades suspeitas. Implementar regras de WAF (Web Application Firewall) para bloquear solicitações que tentem acessar arquivos fora do diretório esperado também pode ajudar a mitigar o risco. A verificação após a atualização deve ser feita confirmando que o método serveMathJaxLibraries não retorna mais informações confidenciais quando solicitado com caminhos de arquivo maliciosos.
Actualice Allegra a la versión 7.5.1 o posterior. Esta versión corrige la vulnerabilidad de recorrido de directorios en el método serveMathJaxLibraries.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2023-52332 is a directory traversal vulnerability in Allegra versions 7.5.0 build 29 and earlier, allowing attackers to access sensitive files.
If you are using Allegra versions 7.5.0 build 29 or earlier, you are potentially affected by this vulnerability.
Upgrade Allegra to version 7.5.1 or later to resolve this vulnerability. Consider temporary workarounds if immediate upgrade is not possible.
While no active exploitation has been publicly confirmed, the vulnerability's simplicity suggests it could be targeted.
Refer to the Allegra documentation and security advisories on the official Allegra website for the latest information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.