Os pesquisadores subsequentemente descobriram que outros sistemas de gerenciamento de conteúdo que contam com a mesma biblioteca vulnerável do Dragonfly – incluindo Locomotive CMS e Alchemy CMS – também estavam em risco. A falha permitia explorações, incluindo leitura de arquivo arbitrário, gravação de arquivo arbitrário e (em condições favoráveis) execução remota de código. Um artigo técnico da ZX Security explica o problema com mais detalhes.
A biblioteca Dragonfly lida com funções como gerar miniaturas de imagens e imagens de texto ou apenas gerenciar anexos em geral. Vulnerabilidades de injeção de argumento são uma classe de ataque que significa que entradas não confiáveis podem ser passadas como argumentos durante a execução de um comando específico. A fragilidade da segurança define o cenário para a execução de injeção de recomendação de sistema operacional e ataques semelhantes. Atualizar o Dragonfly Ruby Gem para 1.4.0 ou superior atenuaria esse problema. Como alternativa, garantir que a opção padrão do Dragonfly verify_urls esteja habilitada oferece uma mitigação efetiva, de acordo com a ZX Security.
Fonte: https://portswigger.net/
Sistema Defesa Civil Alerta é suspenso após 12 alertas falsos com a palavra "misantropia" serem…
Thalha Jubair e Owen Flowers confessaram envolvimento no ataque de 2024 contra a TfL, que…
JFrog descobre três pacotes npm publicados pelo usuário "abdrizak" que fingem ser utilitários PostCSS, instalam…
Novo guia técnico explica passo a passo como atacantes transformam o recurso administrativo Distributed COM…
Anunciamos o lançamento do Plugged Ninja AI (plugged.ninja/ai), nova vertical do site dedicada a explicar…
Pesquisadores da Wake Forest University analisaram 444 aplicativos iOS com funcionalidade LLM e identificaram 282…