PT-2020-15624 · Fs.Com · Fs.Com S3900 24T4S
Ludovic Ortega
·
Publicado
2020-10-22
·
Atualizado
2020-11-02
·
CVE-2020-24033
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
fs.com S3900 24T4S, versões 1.7.0 e anteriores
Descrição
Foi descoberta uma falha que permite que invasores remotos falsifiquem solicitações em nome de um administrador do site, possibilitando-lhes alterar todas as configurações, incluindo a exclusão de usuários e a criação de novos usuários com privilégios elevados, devido à ausência de um mecanismo de autenticação ou autenticação por token no formulário.
Recomendações
Para o fs.com S3900 24T4S versões 1.7.0 e anteriores, considere implementar um mecanismo de autenticação ou autenticação por token no formulário para impedir que invasores remotos falsifiquem solicitações. Como solução alternativa temporária, restrinja o acesso ao formulário e às configurações para minimizar o risco de exploração.
Exploit
Correção
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Fs.Com S3900 24T4S