PT-2021-11921 · Pax Technology · Paxstore
Andriel C. S. Biagioni
+1
·
Publicado
2021-05-07
·
Atualizado
2021-05-13
·
CVE-2020-36127
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
**Nome do software vulnerável e versões afetadas:
Pax Technology PAXSTORE versões 7.0.8 20200511171508 e anteriores
Descrição:
A vulnerabilidade permite que usuários não administradores acessem o certificado p12 de substituição e sua senha, que é retornada em base64. Isso ocorre por meio da funcionalidade de assinatura PUK, na qual um administrador não pode visualizar a senha atual do certificado, mas pode substituí-la. O certificado de substituição e sua senha ficam acessíveis a usuários não administradores.
Recomendações:
Para as versões 7.0.8 20200511171508 e anteriores, considere restringir o acesso à funcionalidade de assinatura PUK para impedir que usuários não administradores acessem o certificado p12 de substituição e sua senha. Como solução alternativa temporária, limite o uso da opção de substituição de certificado até que uma correção esteja disponível.
Exploit
Correção
Improper Certificate Validation
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Paxstore