PT-2020-12308 · Red Hat · Infinispan
Publicado
2020-10-19
·
Atualizado
2021-10-26
·
CVE-2020-10746
CVSS v3.1
6.1
Média
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H |
Nome do software vulnerável e versões afetadas
Infinispan versão 10
Descrição
Uma falha no Infinispan permite o acesso local aos controles por meio das APIs REST e HotRod, possibilitando que um usuário autenticado na máquina local execute todas as operações nos caches, incluindo criação, atualização, exclusão e desligamento de todo o servidor.
Recomendações
Para o Infinispan versão 10, restrinja o acesso às APIs REST e HotRod para impedir o acesso local não autorizado aos controles e considere a implementação de medidas de segurança adicionais para limitar as ações que podem ser realizadas por usuários autenticados localmente.
Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Infinispan