0Xsu3Ks

**Nome do Software Vulnerável e Versões Afetadas** ExaGrid EX10 versões 6.3 até 7.0.1.P08 **Descrição** O software está suscetível a controle de acesso incorreto. Usuários com privilégios de nível de operador podem recuperar credenciais SMTP, incluindo senhas em texto claro, ao emitir uma requisição HTTP ao endpoint da API `MailConfiguration`. **Recomendações** Restringir o acesso ao endpoint da API `MailConfiguration` para usuários de nível de operador.

**Nome do Software Vulnerável e Versões Afetadas** ExaGrid EX10 versões 6.3 a 7.0.1.P08 **Descrição** As versões 6.3 a 7.0.1.P08 do ExaGrid EX10 são suscetíveis a um problema de controle de acesso incorreto. A partir da versão 6.3, a ExaGrid implementou restrições para impedir que usuários com a função Admin criem ou modifiquem usuários com a função Security Officer sem a devida autorização. No entanto, uma falha no processo de criação de conta permite que um atacante contorne essas restrições através da manipulação de requisições de API. Um atacante com acesso Admin pode interceptar e modificar a requisição de API durante a criação do usuário, alterando parâmetros para atribuir a nova conta ao grupo ExaGrid Security Officers sem a aprovação necessária. A vulnerabilidade envolve a manipulação de requisições de API durante o processo de criação de usuários. **Recomendações** ExaGrid EX10 versão 6.3: Restrinja o acesso ao endpoint da API de criação de usuário. ExaGrid EX10 versões 6.3 a 7.0.1.P08: Revise e valide cuidadosamente todas as requisições de API relacionadas à criação e modificação de usuários para garantir que as verificações de autorização adequadas sejam aplicadas.