PT-2020-19878 · Labvantage · Labvantage Lims
Publicado
2020-02-17
·
Atualizado
2021-07-21
·
CVE-2020-7959
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
LabVantage LIMS versão 8.3
Descrição
O problema diz respeito à exposição de nomes de bancos de dados por meio do aplicativo web, o que pode permitir que um invasor enumere nomes de bancos de dados manipulando as solicitações. Por exemplo, fornecer um nome de banco de dados inexistente em uma solicitação pode gerar uma mensagem de exceção “Banco de dados não reconhecido”, indicando que o banco de dados não existe.
Recomendações
Para o LabVantage LIMS versão 8.3, considere restringir o acesso ao aplicativo web para minimizar o risco de enumeração de nomes de bancos de dados até que uma correção adequada seja implementada. Além disso, evite usar o nome do banco de dados em solicitações para prevenir possíveis explorações. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
Side Channel Attack
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Labvantage Lims