CVE-2019-12783

**Nome do software vulnerável e versões afetadas:

Verint Impact 360 versão 15.1

Descrição:

Foi descoberta uma vulnerabilidade que permite que invasores comprometam credenciais válidas. No endpoint da API /wfo/control/signin, o parâmetro rd pode aceitar uma URL, para a qual os usuários serão redirecionados após um login bem-sucedido. Isso pode ser usado em conjunto com outra vulnerabilidade para realizar tentativas de login por força bruta de forma colaborativa no site alvo, permitindo que invasores adivinhem credenciais válidas sem enviar tráfego de sua própria máquina para o site alvo.

Recomendações:

Para o Verint Impact 360 versão 15.1, considere restringir o acesso ao endpoint da API /wfo/control/signin para minimizar o risco de exploração. Como solução temporária, evite usar o parâmetro rd neste endpoint até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.