PT-2021-15144 · Unknown · Exposure Notification Server
Sethvargo
·
Publicado
2021-11-10
·
Atualizado
2024-08-21
·
CVE-2021-22565
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L |
Nome do software vulnerável e versões afetadas
Versões do servidor de notificação de exposição anteriores à V1.1.2
Descrição
Um invasor poderia fazer com que um código de verificação expirasse prematuramente, tornando-o inutilizável pelo paciente e impedindo-o de enviar seus TEKs para gerar notificações de exposição. Usuários ou chaves de API com permissão para expirar códigos de verificação poderiam ter expirado códigos pertencentes a outro domínio caso adivinhassem o UUID. Os códigos de verificação só podem ser expirados mediante o fornecimento de seu UUID de 64 bits, e os códigos de verificação já são válidos por um período de tempo muito curto.
Recomendações
Para versões do servidor de Notificação de Exposição anteriores à V1.1.2, atualize o servidor para a V1.1.2 ou superior.
Correção
Improper Access Control
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Exposure Notification Server