CVE-2020-10778

Versões 4.7 a 5 do Red Hat CloudForms

O problema está relacionado a uma falha na lógica de negócios da plataforma Red Hat CloudForms, especificamente no que diz respeito ao gerenciamento de ambientes virtuais. Essa falha permite que um invasor edite widgets somente leitura inspecionando os formulários, removendo o atributo disabled dos campos e contornando a validação do lado do servidor. Essa exploração viola o comportamento esperado do sistema.

Para as versões 4.7 a 5 do Red Hat CloudForms, como solução temporária, considere desativar a funcionalidade de edição de widgets somente leitura até que um patch esteja disponível. Restrinja o acesso aos formulários que permitem a edição de widgets para minimizar o risco de exploração. Evite usar o atributo disabled como único meio de proteger widgets e, em vez disso, implemente a validação do lado do servidor para aplicar controles de acesso. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.