top of page

Falha de Server-side Request Forgery corrigida no Invoice Ninja


O invoice Ninja é uma plataforma popular de gestão de faturas open-source, sendo que a falha representada pelo CVE-2024-53353 permitia ler ficheiros sensíveis no servidor afetado.

Esta plataforma, feita com Laravel, inclui uma funcionalidade de geração de pdf's que permite ao atacante provocar um SSRF e dessa forma conseguir criar ou mesmo editar faturas, permitindo também injetar payloads maliciosos na geração do PDF. Explorada com sucesso, a falha permitia aceder a ficheiros críticos e de configuração do sistema.


Solução

Atualizar pelo security advisory oficial do produto





Advisory oficial: https://github.com/invoiceninja/invoiceninja/releases

Comments


POSTS RECENTES:
PROCURE POR TAGS:
bottom of page