PT-2020-13637 · Digdash Enterprise · Digdash
Florian Nivette
·
Publicado
2020-06-15
·
Atualizado
2020-06-24
·
CVE-2020-13650
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
DigDash versões 2018R2 anteriores à p20200210
DigDash versões 2019R1 anteriores à p20200210
Descrição
Foi descoberta uma vulnerabilidade na página de login, que está sujeita a falsificação de solicitação do lado do servidor (SSRF). Isso permite que o aplicativo seja usado como um proxy, e uma solicitação falsificada enviada a um servidor externo pode revelar credenciais do aplicativo. Para solicitações a componentes internos, a solicitação é cega, mas mensagens de erro podem revelar se a solicitação teve como alvo um serviço aberto.
Recomendações
Para as versões do DigDash 2018R2 anteriores à p20200210, atualize para uma versão posterior à p20200210 para resolver o problema.
Para as versões do DigDash 2019R1 anteriores à p20200210, atualize para uma versão posterior à p20200210 para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso à página de login para minimizar o risco de exploração.
Correção
SSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Digdash