PT-2020-14201 · Unknown · I Hate Money
Zorun
·
Publicado
2020-07-27
·
Atualizado
2020-07-29
·
CVE-2020-15120
CVSS v4.0
6.9
Média
| Vetor | AV:N/AC:L/AT:N/PR:H/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do I Hate Money anteriores à 4.1.5
Descrição
Um membro autenticado de um projeto pode modificar e excluir membros de outro projeto, sem ter conhecimento do código privado desse outro projeto. Isso pode ser explorado para acessar todas as contas de outro projeto sem ter conhecimento do código privado desse outro projeto. Com a configuração padrão, qualquer pessoa tem permissão para criar um novo projeto, tornando trivial para um invasor se autenticar e explorar essa falha. A vulnerabilidade pode ser explorada por meio de endpoints de API, como “PUT /api/projects//members/” e “DELETE /api/projects//members/”, bem como pela interface web em “//members//edit”.
Recomendações
Para corrigir o problema, atualize para a versão 4.1.5.
Como solução temporária, considere definir
ALLOW PUBLIC PROJECT CREATION = False na configuração para limitar o impacto, embora os usuários existentes ainda possam explorar a falha.Correção
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
I Hate Money