A vulnerability has been found in feng_ha_ha/megagao ssm-erp and production_ssm up to 4288d53bd35757b27f2d070057aefb2c07bdd097. This affects the function pictureDelete of the file PictureController.java. Such manipulation of the argument picName leads to path traversal. The attack can be launched remotely. The exploit has been disclosed to the public and may be used. This product does not use versioning. This is why information about affected and unaffected releases are unavailable. This product is distributed under two entirely different names. The project was informed of the problem early through an issue report but has not responded yet.
A path traversal vulnerability exists in the pictureDelete function of PictureController.java in megagao ssm-erp, allowing remote attackers to manipulate the picName parameter to access unauthorized files. The vulnerability has been publicly disclosed and may be actively exploited.
تؤثر هذه الثغرة على وحدة التحكم في الصور في تطبيق megagao ssm-erp حيث يمكن للمهاجمين استخدام أحرف خاصة مثل ../ للوصول إلى ملفات خارج الدليل المقصود. يمكن استغلال هذه الثغرة عن بعد دون الحاجة إلى مصادقة.
يوجد ثغرة اجتياز المسار في وظيفة pictureDelete في ملف PictureController.java في megagao ssm-erp، مما يسمح للمهاجمين البعيدين بمعالجة معامل picName للوصول إلى ملفات غير مصرح بها. تم الكشف عن الثغرة علنًا وقد يتم استغلالها بنشاط.
Update to the latest patched version of megagao ssm-erp immediately. Implement input validation and sanitization for the picName parameter to prevent path traversal attacks. Use allowlists for permitted file paths and restrict file operations to designated directories. Apply principle of least privilege to application service accounts.
قم بالتحديث إلى أحدث إصدار معدل من megagao ssm-erp فورًا. قم بتطبيق التحقق من صحة المدخلات وتنظيفها لمعامل picName لمنع هجمات اجتياز المسار. استخدم قوائم بيضاء للمسارات المسموحة وقيد عمليات الملفات على الدلائل المخصصة. طبق مبدأ أقل امتياز على حسابات خدمة التطبيق.