CVE-2018-10465

**Nome do software vulnerável e versões afetadas:

Versões do Jamf Pro anteriores à 10.3.0

Descrição:

O problema diz respeito a um controle de acesso incorreto, em que contas de usuário e grupos do Jamf Pro com acesso de login ao Jamf Pro têm acesso total aos terminais na API Universal (UAPI), independentemente de seus privilégios. Isso permite que uma conta autenticada sem os privilégios necessários execute ações CRUD (GET, POST, PUT, DELETE) nos endpoints da UAPI, o que pode levar à divulgação não autorizada de informações, comprometimento da integridade dos dados e perda de dados. Os endpoints da UAPI disponíveis e as ações CRUD associadas podem ser encontrados no endpoint “/uapi/doc” em uma instância do Jamf Pro.

Recomendações:

Para versões do Jamf Pro anteriores à 10.3.0, atualize para a versão 10.3.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso aos endpoints da UAPI para minimizar o risco de exploração. Evite usar contas sem os privilégios necessários para acessar a UAPI até que o problema seja resolvido.