PT-2021-20480 · Accela · Accela Civic Platform

0Xx7

Publicado

2021-06-09

Atualizado

2024-08-04

CVE-2021-34369

CVSS v3.1

6.5

Média

Vetor

AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

**Nome do software vulnerável e versões afetadas:

Versões da Accela Civic Platform até a 20.1

Descrição:

A vulnerabilidade permite que invasores remotos obtenham informações confidenciais por meio de um valor modificado de contactSeqNumber no endpoint portlets/contact/ref/refContactDetail.do. No entanto, o fornecedor afirma que as informações consultadas são autorizadas para um usuário autenticado do aplicativo.

Recomendações:

Para as versões da Accela Civic Platform até a 20.1, como solução temporária, considere restringir o acesso ao endpoint portlets/contact/ref/refContactDetail.do para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

Exploit

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Identificadores relacionados

CVE-2021-34369

Produtos afetados

Accela Civic Platform

PT-2021-20480 · Accela · Accela Civic Platform

CVE-2021-34369

Identificadores relacionados

Produtos afetados

Referências · 6