PT-2021-21341 · 1Password · 1Password Connect Server
Publicado
2021-07-15
·
Atualizado
2021-08-05
·
CVE-2021-36758
CVSS v2.0
5.5
Média
| Vetor | AV:N/AC:L/Au:S/C:P/I:P/A:N |
Nome do software vulnerável e versões afetadas
Servidor 1Password Connect versão 1.2 e anteriores
Descrição
O problema está relacionado à falta de verificações de validação no servidor 1Password Connect, permitindo que os usuários criem tokens de acesso do Secrets Automation para escalonamento de privilégios. Usuários mal-intencionados autorizados a criar esses tokens podem acessar além de seus limites autorizados, mas apenas dentro das autorizações existentes do Secrets Automation no qual o token foi criado.
Recomendações
Para versões anteriores à 1.2, atualize para a versão 1.2 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao recurso de criação de tokens de acesso do Secrets Automation para minimizar o risco de exploração.
Correção
Incorrect Authorization
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
1Password Connect Server