CVE-2021-22538

Versões do Google Exposure Notification Verification Server anteriores à 0.23.1

Uma falha de escalonamento de privilégios permite que um invasor com permissões UserWrite, utilizando uma solicitação cuidadosamente elaborada ou um proxy malicioso, crie outro usuário com privilégios superiores aos seus. Isso ocorre devido a verificações insuficientes no conjunto de permissões permitidas. O evento de criação do novo usuário seria registrado no Log de Eventos.

Para versões anteriores à 0.23.1, atualize para a versão 0.23.1 ou 0.24.0 para resolver o problema.

Como solução alternativa temporária para usuários que não conseguem atualizar, audite os usuários com permissões UserWrite e revise regularmente o Log de Eventos em busca de atividades maliciosas.