Walkerxiong

**Nome do software vulnerável e versões afetadas** Versões do Apache Traffic Control Traffic Ops anteriores à 6.1.0 Versões do Apache Traffic Control Traffic Ops anteriores à 5.1.6 **Descrição** A vulnerabilidade permite que um usuário sem privilégios, capaz de acessar o Traffic Ops via HTTPS, envie uma solicitação POST especialmente criada para “/user/login/oauth” a fim de escanear uma porta de um servidor que o Traffic Ops possa acessar. Trata-se de um caso de falsificação de solicitação do lado do servidor (Server-Side Request Forgery). **Recomendações** Para versões anteriores à 6.1.0, atualize para a versão 6.1.0 ou posterior. Para versões anteriores à 5.1.6, atualize para a versão 5.1.6 ou posterior. Como solução temporária, considere restringir o acesso ao endpoint “/user/login/oauth” até que um patch esteja disponível.