PT-2020-10264 · Serpico · Serpico
Publicado
2020-01-15
·
Atualizado
2021-07-21
·
CVE-2019-19857
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
Serpico versão 1.3.0
Descrição
A vulnerabilidade permite que um administrador altere sua senha sem fornecer a senha atual, utilizando interfaces fora da tela “Alterar Senha”. Isso é particularmente problemático quando combinado com ataques de cross-site scripting (XSS), pois compromete o reforço de segurança que exige que o administrador insira sua senha antiga na tela “Alterar Senha”.
Recomendações
Para o Serpico versão 1.3.0, considere restringir o acesso a interfaces que permitam alterações de senha fora da tela “Alterar Senha” como uma solução temporária até que um patch esteja disponível. Além disso, certifique-se de que todos os usuários, especialmente os administradores, sejam cautelosos ao clicar em links ou fornecer informações confidenciais para minimizar o risco de exploração de XSS. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Serpico