PT-2020-10505 · Frappe · Frappe
Publicado
2020-03-18
·
Atualizado
2021-07-21
·
CVE-2019-20529
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões 11 a 12 do Frappe
Descrição
O problema diz respeito ao armazenamento de arquivos de dados gerados com o Prepared Report no Frappe. Esses arquivos estavam sendo armazenados como arquivos públicos, o que significa que não é necessária autenticação para acessá-los; basta ter um link. Isso contrasta com o comportamento esperado, que seria armazená-los como arquivos privados.
Recomendações
Para as versões 11 a 12 do Frappe, considere modificar as configurações de armazenamento de arquivos no módulo prepared report.py para armazenar os arquivos de dados como arquivos privados, exigindo autenticação para acesso. Como solução temporária, considere restringir o acesso aos arquivos públicos gerados pelo Prepared Report até que uma correção adequada seja implementada.
Correção
Missing Authentication
Files Accessible to External Parties
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Frappe