PT-2020-13528 · Aviatrix · Aviatrix Controller
Publicado
2020-05-22
·
Atualizado
2020-05-26
·
CVE-2020-13416
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do Aviatrix Controller anteriores à 5.4.1066
Descrição
O problema permite uma vulnerabilidade do tipo Cross Site Request Forgery (CSRF), especificamente para redefinições de senha, devido ao fato de um parâmetro de token de sessão da interface web do Controller não ser exigido em uma chamada de API.
Recomendações
Para versões anteriores à 5.4.1066, atualize para a versão 5.4.1066 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao endpoint da API relacionado à redefinição de senha até que a atualização seja aplicada.
Correção
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Aviatrix Controller