PT-2020-20134 · Jenzabar · Jenzabar Jics
Publicado
2020-05-19
·
Atualizado
2020-05-27
·
CVE-2020-8434
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Jenzabar JICS anteriores à 9.0.1 Patch 3
Versões do Jenzabar JICS 9.1 anteriores à 9.1.2 Patch 2
Versões do Jenzabar JICS 9.2 anteriores à 9.2.2 Patch 8
Descrição
A vulnerabilidade permite que um invasor se faça passar por qualquer usuário real no banco de dados do JICS sem autenticação. Isso é possível porque os cookies de sessão são uma função determinística do nome de usuário e uma senha codificada é usada para criptografar o nome de usuário. Ao conhecer a chave e o algoritmo, um invasor pode selecionar qualquer nome de usuário, criptografá-lo e salvá-lo em seu navegador para se passar pelo usuário.
Recomendações
Para versões anteriores à 9.0.1 Patch 3, atualize para a 9.0.1 Patch 3 ou posterior.
Para versões 9.1 anteriores à 9.1.2 Patch 2, atualize para a 9.1.2 Patch 2 ou posterior.
Para versões 9.2 anteriores à 9.2.2 Patch 8, atualize para a 9.2.2 Patch 8 ou posterior.
Exploit
Correção
Session Fixation
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jenzabar Jics