PT-2021-20023 · Labcup · Labcup
Alberto Chica Nunez
·
Publicado
2021-06-10
·
Atualizado
2021-06-22
·
CVE-2021-33031
CVSS v2.0
3.5
Baixa
| Vetor | AV:N/AC:M/Au:S/C:N/I:P/A:N |
Nome do software vulnerável e versões afetadas
Versões do LabCup anteriores à 6.3.0.03
Descrição
A vulnerabilidade permite que ações não autorizadas sejam realizadas por usuários sem acesso ao gerenciamento de usuários, podendo levar à apropriação de contas. Um invasor pode alterar o endereço de e-mail de outro usuário se conhecer detalhes específicos sobre a vítima, como funções, funções de grupo, ID e configurações de ID de autenticação remota, que são enviadas em uma solicitação de API de salvamento modificada para o endpoint “save API”.
Recomendações
Para versões anteriores à 6.3.0.03, atualize para a versão 6.3.0.03 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao endpoint da API de salvamento até que a atualização seja aplicada.
Exploit
Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Labcup