PT-2020-17043 · Openasset · Openasset Digital Asset Management
Jack Misiura
·
Publicado
2020-12-14
·
Atualizado
2020-12-15
·
CVE-2020-28856
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
OpenAsset Digital Asset Management (DAM) versões 12.0.19 e anteriores
Descrição
A vulnerabilidade permite que invasores falsifiquem o endereço IP de origem da solicitação HTTP usando o cabeçalho X-Forwarded-For, potencialmente contornando controles de acesso baseados em endereço IP. Isso pode ser feito fornecendo um endereço localhost, como 127.0.0.1.
Recomendações
Para as versões 12.0.19 e anteriores, considere implementar controles de acesso adicionais que não se baseiem exclusivamente em endereços IP, como tokens de autenticação ou outras formas de verificação, até que uma correção esteja disponível.
Como solução alternativa temporária, restrinja o uso do cabeçalho X-Forwarded-For para minimizar o risco de falsificação de endereço IP.
Correção
Authentication Bypass by Spoofing
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Openasset Digital Asset Management