Pascal_Geuter

**Nome do software vulnerável e versões afetadas** Kiteworks OwnCloud (versões afetadas não especificadas) **Descrição** Uma vulnerabilidade de falsificação de solicitação entre sites (CSRF) no Kiteworks OwnCloud permite que um invasor não autenticado falsifique solicitações. Se uma solicitação não possuir um cabeçalho de autorização, ele é criado com uma string vazia como valor por uma regra de reescrita. A verificação CSRF é feita comparando o valor do cabeçalho com nulo, o que significa que a verificação CSRF existente é contornada neste caso. Um invasor pode, por exemplo, criar uma nova conta de administrador se a solicitação for executada no navegador de uma vítima autenticada. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.