Ehakkus

**Nome do software vulnerável e versões afetadas** Servisnet Tessa versão 0.0.2 **Descrição** Foi descoberta uma falha que permite que um invasor adicione um novo usuário sysadmin por meio da manipulação do cabeçalho HTTP `Authorization`. **Recomendações** Para o Servisnet Tessa versão 0.0.2, considere restringir o acesso ao cabeçalho HTTP Authorization para impedir a manipulação até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Servisnet Tessa versão 0.0.2 **Descrição** Foi descoberta uma falha na qual dados de autorização ficam disponíveis por meio de uma solicitação não autenticada ao endpoint da API “/data-service/users/”. **Recomendações** Para o Servisnet Tessa versão 0.0.2, considere restringir o acesso ao endpoint da API “/data-service/users/” para impedir o acesso não autorizado aos dados de autorização até que uma correção esteja disponível.

**Nome do software vulnerável e versões afetadas** Netsia SEBA+ versões 0.16.1 e anteriores, especificamente a compilação 70-e669dcd7 **Descrição** A vulnerabilidade permite que invasores remotos descubram cookies de sessão por meio de uma solicitação direta ao endpoint da API “/session/list/allActiveSession”. Isso pode levar à descoberta do cookie do administrador se a conta de administrador estiver conectada no momento da solicitação, permitindo que o invasor use esse cookie imediatamente para obter acesso de administrador. **Recomendações** Para as versões 0.16.1 e anteriores do Netsia SEBA+, considere restringir o acesso ao endpoint da API “/session/list/allActiveSession” para minimizar o risco de exploração. Como solução temporária, limite o uso de contas de administrador quando a solicitação allActiveSession puder ocorrer. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.