Dotcms · Dotcms Core · CVE-2024-4447
**Nome do software vulnerável e versões afetadas**
Versões do software anteriores à 24.07.12
Versões do software 23.01.20 LTS até 23.01.19 LTS
Versões do software 23.10.24v13 LTS e anteriores
Versões do software 24.04.24v5 LTS e anteriores
**Descrição**
O problema ocorre na ferramenta Sistema → Manutenção, onde a guia Usuários Conectados expõe dados de sessionId de todos os usuários por meio de chamadas da API Direct Web Remoting (`UserSessionAjax.getSessionList.dwr`). Essas informações, embora destinadas a administradores com permissões de “Entrar como”, podem ser utilizadas por administradores sem esse privilégio para se passar por outros usuários. O vetor de ataque é pequeno e requer permissões elevadas, mas seu perigo reside na ofuscação da atribuição, permitindo que administradores mal-intencionados tornem suas ações impossíveis de rastrear, como ao usar um ID de sessão para gerar um token de API.
**Recomendações**
Para versões anteriores à 24.07.12, atualize para a versão 24.07.12 ou posterior.
Para as versões 23.01.20 LTS a 23.01.19 LTS, atualize para a versão 23.01.20 LTS ou posterior.
Para as versões 23.10.24v13 LTS e anteriores, atualize para a versão 23.10.24v13 LTS ou posterior.
Para as versões 24.04.24v5 LTS e anteriores, atualize para a versão 24.04.24v5 LTS ou posterior.
Como solução alternativa temporária, considere restringir o acesso ao endpoint da API `UserSessionAjax.getSessionList.dwr` para minimizar o risco de exploração.