Os pesquisadores subsequentemente descobriram que outros sistemas de gerenciamento de conteúdo que contam com a mesma biblioteca vulnerável do Dragonfly – incluindo Locomotive CMS e Alchemy CMS – também estavam em risco. A falha permitia explorações, incluindo leitura de arquivo arbitrário, gravação de arquivo arbitrário e (em condições favoráveis) execução remota de código. Um artigo técnico da ZX Security explica o problema com mais detalhes.
A biblioteca Dragonfly lida com funções como gerar miniaturas de imagens e imagens de texto ou apenas gerenciar anexos em geral. Vulnerabilidades de injeção de argumento são uma classe de ataque que significa que entradas não confiáveis podem ser passadas como argumentos durante a execução de um comando específico. A fragilidade da segurança define o cenário para a execução de injeção de recomendação de sistema operacional e ataques semelhantes. Atualizar o Dragonfly Ruby Gem para 1.4.0 ou superior atenuaria esse problema. Como alternativa, garantir que a opção padrão do Dragonfly verify_urls esteja habilitada oferece uma mitigação efetiva, de acordo com a ZX Security.
Fonte: https://portswigger.net/
IA está comprimindo a janela entre divulgação e exploração a ponto de ficar negativa. A…
Operação NoVoice espalhou-se por mais de 50 apps do Google Play e explorou falhas antigas…
Grupo Inc reivindica ataque contra a prefeitura de Meriden, Connecticut. A cidade desligou serviços e…
A Alemanha expôs o líder ligado a GandCrab/REvil e reforçou o alerta sobre rebrandings no…
BlueHammer é um zero‑day LPE que explora o Windows Defender e eleva um usuário comum…
Drift Protocol suspendeu depósitos e saques após ataque na Solana. Estimativas apontam perdas entre US$…