PT-2020-16038 · Hyland · Hyland Onbase
Publicado
2020-09-11
·
Atualizado
2022-06-30
·
CVE-2020-25252
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Hyland OnBase anteriores à 16.0.2.84
Versões do Hyland OnBase anteriores à 17.0.2.110
Versões do Hyland OnBase anteriores à 18.0.0.38
Versões do Hyland OnBase anteriores à 19.8.16.1001
Versões do Hyland OnBase anteriores à 20.3.10.1001
Descrição
Foi descoberta uma vulnerabilidade no Hyland OnBase em que o CSRF pode ser usado para fazer login como um usuário e, em seguida, realizar ações, pois existem credenciais padrão, especificamente a senha “wstinol” para a conta “manager” ou “hsi”.
Recomendações
Para versões anteriores à 16.0.2.84, atualize para uma versão superior à 16.0.2.83.
Para versões anteriores à 17.0.2.110, atualize para uma versão superior à 17.0.2.109.
Para versões anteriores à 18.0.0.38, atualize para uma versão superior à 18.0.0.37.
Para versões anteriores à 19.8.16.1001, atualize para uma versão superior à 19.8.16.1000.
Para versões anteriores à 20.3.10.1001, atualize para uma versão superior à 20.3.10.1000.
Como solução alternativa temporária, considere alterar as credenciais padrão, especificamente a senha wstinol para a conta do gerente ou hsi, a fim de impedir o acesso não autorizado.
Correção
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Hyland Onbase