PT-2021-10898 · Unknown · Newbee-Mall
Jayway007
·
Publicado
2021-01-26
·
Atualizado
2021-07-21
·
CVE-2020-23448
CVSS v2.0
7.5
Alta
| Vetor | AV:N/AC:L/Au:N/C:P/I:P/A:P |
Nome do software vulnerável e versões afetadas
newbee-mall todas as versões
Descrição
O problema diz respeito a um controle de acesso incorreto, permitindo a escalada remota de privilégios por meio do arquivo
AdminLoginInterceptor.java. Especificamente, a lógica de autenticação para a área de bastidores /admin do sistema, codificada no AdminLoginInterceptor, pode ser contornada.Recomendações
Para todas as versões, considere restringir o acesso à função
AdminLoginInterceptor até que uma correção adequada seja implementada para impedir o acesso não autorizado e a escalada de privilégios. Como solução temporária, revise e reforce a lógica de autenticação para impedir a contornagem, com foco na proteção da área de fundo /admin.Exploit
Correção
Missing Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Newbee-Mall