PT-2020-11929 · Zammad · Zammad
Publicado
2020-03-05
·
Atualizado
2021-07-21
·
CVE-2020-10105
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões 3.0 a 3.2 do Zammad
Descrição
Foi descoberta uma falha em que o envio de uma solicitação OPTIONS retorna o código-fonte de recursos estáticos, em vez de uma solicitação GET. Essa divulgação do código-fonte permite que um invasor formule ataques mais precisos. Especificamente, o código-fonte foi divulgado para o arquivo 404.html, localizado em /zammad/public/404.html.
Recomendações
Para as versões 3.0 a 3.2 do Zammad, considere restringir o acesso ao arquivo /zammad/public/404.html até que um patch esteja disponível.
Como solução temporária, evite usar o método de solicitação OPTIONS para recursos estáticos até que o problema seja resolvido.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Files Accessible to External Parties
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Zammad