PT-2021-16860 · Opennms · Opennms Horizon+1
Publicado
2021-05-20
·
Atualizado
2021-05-26
·
CVE-2021-25930
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do OpenNMS Horizon, de opennms-1-0-stable a opennms-27.1.0-1
Versões do OpenNMS Meridian de meridian-foundation-2015.1.0-1 a meridian-foundation-2019.1.18-1
Versões do OpenNMS Meridian de meridian-foundation-2020.1.0-1 a meridian-foundation-2020.1.6-1
Descrição
O problema se deve à falta de proteção contra CSRF e à ausência de validação de um nome de usuário existente durante a renomeação de um usuário. Como resultado, os privilégios do usuário renomeado estão sendo sobrescritos pelo usuário antigo, e o usuário antigo está sendo excluído da lista de usuários.
Recomendações
Para as versões do OpenNMS Horizon opennms-1-0-stable a opennms-27.1.0-1, considere desativar o recurso de renomeação de usuários até que um patch esteja disponível.
Para as versões do OpenNMS Meridian meridian-foundation-2015.1.0-1 a meridian-foundation-2019.1.18-1, restrinja o acesso ao módulo de gerenciamento de usuários para minimizar o risco de exploração.
Para as versões do OpenNMS Meridian meridian-foundation-2020.1.0-1 a meridian-foundation-2020.1.6-1, evite usar o recurso de renomeação de usuários até que o problema seja resolvido.
Exploit
Correção
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Opennms Horizon
Opennms Meridian