PT-2021-21089 · Talk · Talk
Okybr
·
Publicado
2021-06-30
·
Atualizado
2022-07-12
·
CVE-2021-35970
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
**Nome do software vulnerável e versões afetadas:
Versões do Talk 4 anteriores à 4.12.1
Descrição:
A vulnerabilidade permite que invasores remotos descubram endereços de e-mail e outras informações confidenciais por meio do GraphQL, pois as verificações de permissão utilizam um tipo de dados incorreto.
Recomendações:
Para versões anteriores à 4.12.1, atualize para a versão 4.12.1 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao endpoint do GraphQL para minimizar o risco de exploração.
Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Talk