PT-2020-13205 · Serpico · Serpico
Publicado
2020-05-07
·
Atualizado
2020-05-12
·
CVE-2020-12687
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Serpico anteriores à 1.3.3
Descrição
Foi detectada uma falha que permite que usuários autenticados sem privilégios de administrador solicitem o endpoint “/admin/attacments backup”. Isso permite que um invasor com uma conta de usuário recupere todos os anexos de todos os usuários, incluindo administradores, do banco de dados.
Recomendações
Para versões anteriores à 1.3.3, atualize para a versão 1.3.3 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint “/admin/attacments backup” apenas a usuários administradores até que um patch seja aplicado.
Correção
Exposure of Resource to Wrong Sphere
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Serpico