PT-2021-16897 · Publify · Publify
Publicado
2021-11-02
·
Atualizado
2024-03-06
·
CVE-2021-25973
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do Publify 9.0.0.pre1 a 9.2.4
Descrição
O problema está relacionado a um controle de acesso inadequado, em que usuários com a função
guest podem se registrar por conta própria, mesmo quando o administrador não permite isso. Isso ocorre porque a restrição se aplica apenas ao front-end.Recomendações
Para as versões do Publify 9.0.0.pre1 a 9.2.4, considere desativar o recurso de auto-registro para usuários com a função
guest até que uma correção esteja disponível. Restrinja o acesso ao endpoint de registro para minimizar o risco de exploração. Evite depender exclusivamente de restrições no front-end para o controle de acesso. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
Improper Authorization
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Publify