PT-2020-7674 · Unknown · Bs-Client Private Client
Publicado
2020-02-13
·
Atualizado
2020-02-19
·
CVE-2014-4198
CVSS v2.0
6.4
Média
| Vetor | AV:N/AC:L/Au:N/C:P/I:P/A:N |
Nome do software vulnerável e versões afetadas
BS-Client Private Client, versões 2.4 a 2.5
Descrição
Existe uma falha que permite contornar a autenticação de dois fatores, permitindo que um usuário mal-intencionado acesse funções privilegiadas por meio de uma solicitação XML. Essa solicitação ignora o uso dos parâmetros
ADPswID e AD.Recomendações
Para as versões 2.4 e 2.5, considere restringir o acesso a funções privilegiadas até que uma correção esteja disponível. Como solução alternativa temporária, certifique-se de que todas as solicitações XML utilizem corretamente os parâmetros
ADPswID e AD para impedir a contornagem da autenticação de dois fatores.Exploit
Correção
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Bs-Client Private Client