PT-2021-17755 · Express+1 · Express+1
Rashley-Iqtop
·
Publicado
2021-03-10
·
Atualizado
2022-07-12
·
CVE-2021-28122
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
**Nome do software vulnerável e versões afetadas:
Open5GS versões 2.1.3 a 2.2.x anteriores à 2.2.1
Descrição:
Foi detectada uma falha na validação de solicitações no componente WebUI, permitindo que um usuário não autenticado utilize uma solicitação HTTP API maliciosa para criar, ler, atualizar ou excluir entradas no banco de dados de assinantes. Por exemplo, novos usuários administrativos podem ser adicionados. A falha ocorre porque o Express não está configurado para exigir autenticação.
Recomendações:
Para as versões do Open5GS 2.1.3 a 2.2.x anteriores à 2.2.1, considere configurar o Express para exigir autenticação no componente WebUI, a fim de impedir o acesso não autorizado ao banco de dados de assinantes.
Como solução alternativa temporária, considere restringir o acesso ao componente WebUI até que um patch esteja disponível.
Exploit
Correção
Missing Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Express
Open5Gs