PT-2020-12694 · Nch · Nch Express Invoice
Publicado
2020-04-07
·
Atualizado
2021-07-21
·
CVE-2020-11561
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
NCH Express Invoice versão 7.25
Descrição
A vulnerabilidade permite que um usuário autenticado com privilégios reduzidos acesse funcionalidades que exigem privilégios superiores ao inserir uma URL manipulada. Isso pode proporcionar acesso a recursos confidenciais, como a tela “Adicionar novo item”.
Recomendações
Para o NCH Express Invoice versão 7.25, considere restringir o acesso a recursos confidenciais, como a tela “Adicionar novo item”, até que uma correção esteja disponível. Como solução alternativa temporária, limite os privilégios dos usuários com privilégios reduzidos para impedir que acessem funcionalidades com privilégios mais elevados.
Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Nch Express Invoice