PT-2020-13841 · Navigate · Navigate Cms
Sean Wright
·
Publicado
2020-06-24
·
Atualizado
2020-06-29
·
CVE-2020-14015
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
Navigate CMS versão 2.9 r1433
Descrição
Foi descoberta uma falha que permite que usuários não autorizados redefinam senhas sem um código de ativação válido. Quando nenhum código de ativação é fornecido durante a redefinição de senha, o sistema permite que o usuário continue definindo uma senha, o que resulta na definição da senha para o usuário criado mais recentemente no sistema, ou seja, o usuário com o ID de usuário mais alto.
Recomendações
Para o Navigate CMS versão 2.9 r1433, como solução temporária, considere desativar a funcionalidade de redefinição de senha até que um patch esteja disponível. Restrinja o acesso ao módulo de redefinição de senha para minimizar o risco de exploração. Evite usar o recurso de redefinição de senha até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Navigate Cms