PT-2020-9286 · Unknown · Onap Portal
Publicado
2020-03-18
·
Atualizado
2020-03-20
·
CVE-2019-12122
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
ONAP Portal via Dublin
Descrição
Foi detectada uma falha no ONAP Portal, na qual um invasor que possua o cookie de um usuário pode recuperar a senha desse usuário do banco de dados ao executar uma chamada para “ONAPPORTAL/portalApi/loggedinUser”. Todas as instalações do Portal estão afetadas.
Recomendações
Para o Portal ONAP via Dublin, considere restringir o acesso ao endpoint “ONAPPORTAL/portalApi/loggedinUser” para minimizar o risco de exploração. Como solução temporária, evite usar a variável
cookie no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
Cleartext Transmission of Sensitive Information
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Onap Portal