PT-2021-17839 · Seceon · Aisiem
Saraunsh Shewale
+1
·
Publicado
2021-06-08
·
Atualizado
2022-04-19
·
CVE-2021-28293
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
**Nome do software vulnerável e versões afetadas:
Versões do Seceon aiSIEM anteriores à 6.3.2 (build 585)
Descrição:
O problema está relacionado à apropriação de conta sem autenticação no recurso “Esqueci a senha”. Isso se deve à falta de configuração correta, o que permite que um invasor recupere o link de redefinição de senha gerado pela funcionalidade de redefinição de senha. Como resultado, um invasor não autenticado pode definir uma senha arbitrária para qualquer usuário.
Recomendações:
Para versões anteriores à 6.3.2 (build 585), atualize para a versão 6.3.2 (build 585) ou posterior para resolver o problema. Como solução alternativa temporária, considere desativar o recurso “Esqueci a senha” até que um patch esteja disponível. Restrinja o acesso à funcionalidade de redefinição de senha para minimizar o risco de exploração.
Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Aisiem