PT-2020-12629 · Deskpro · Deskpro
Publicado
2020-04-01
·
Atualizado
2021-07-21
·
CVE-2020-11466
CVSS v3.1
7.6
Alta
| Vetor | AC:L/AV:N/A:L/C:H/I:L/PR:L/S:U/UI:N |
Nome do software vulnerável e versões afetadas
Versões do Deskpro anteriores à 2019.8.0
Descrição
Foi detectada uma falha em que o endpoint “/api/tickets” não validava corretamente os privilégios do usuário. Isso permitia que um invasor recuperasse informações arbitrárias sobre todos os tickets de suporte técnico armazenados no banco de dados por meio de diversos filtros, vazando informações confidenciais para pessoas não autorizadas. Além disso, vazava o código de autenticação do ticket, possibilitando a realização de alterações em um ticket.
Recomendações
Para versões anteriores à 2019.8.0, atualize para a versão 2019.8.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao endpoint “/api/tickets” para minimizar o risco de exploração.
Exploit
Correção
Improper Privilege Management
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Deskpro