PT-2021-21609 · Laravel · Laravel Booking System Booking Core
Publicado
2021-10-04
·
Atualizado
2022-07-12
·
CVE-2021-37331
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Laravel Booking System Booking Core versão 2.0
Descrição
A vulnerabilidade permite o acesso não autorizado a informações confidenciais. Especificamente, na página “Verificações”, após fazer o upload de um documento de identidade ou licença comercial e visualizá-lo, um invasor pode visualizar os documentos de identidade e licenças comerciais de outros fornecedores ou usuários modificando a URL.
Recomendações
Para o Laravel Booking System Booking Core versão 2.0, considere restringir o acesso à página Verificações e garanta a validação adequada das entradas do usuário para impedir o acesso não autorizado a informações confidenciais. Como solução temporária, restrinja a capacidade de visualizar carteiras de identidade e licenças comerciais de outros fornecedores ou usuários até que uma correção adequada seja implementada.
Exploit
Correção
IDOR
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Laravel Booking System Booking Core