PT-2020-11920 · Zammad · Zammad
Publicado
2020-03-05
·
Atualizado
2020-03-05
·
CVE-2020-10096
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões 3.0 a 3.2 do Zammad
Descrição
Foi descoberta uma falha que permite que dados confidenciais sejam armazenados em cache na memória do navegador. Um invasor que comprometa remotamente ou obtenha acesso físico à estação de trabalho de um usuário pode examinar o conteúdo do cache do navegador e obter informações confidenciais. O invasor não precisa estar autenticado no aplicativo para visualizar essas informações, pois elas estariam disponíveis através do cache do navegador.
Recomendações
Para as versões 3.0 a 3.2 do Zammad, considere implementar medidas para impedir o armazenamento de dados confidenciais na memória do navegador, como o uso de cabeçalhos de controle de cache ou outros mecanismos de segurança para minimizar o risco de exposição de informações confidenciais.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Zammad