CVE-2021-38147

**Nome do software vulnerável e versões afetadas:

Wipro Holmes Orchestrator versão 20.4.1 (20.4.1 02 11 2020)

Descrição:

A vulnerabilidade permite que invasores remotos baixem arquivos arbitrários, como relatórios contendo informações confidenciais, pois não é exigida autenticação para acesso via API a vários pontos de extremidade, incluindo “processexecution/DownloadExcelFile/Domain Credential Report Excel”, “processexecution/DownloadExcelFile/User Report Excel”, “processexecution/DownloadExcelFile/Process Report Excel”, “processexecution/DownloadExcelFile/Infrastructure Report Excel” ou “processexecution/DownloadExcelFile/Resolver Report Excel”.

Recomendações:

Como solução temporária, considere desativar o acesso aos pontos de extremidade da API processexecution/DownloadExcelFile até que uma correção esteja disponível. Restrinja o acesso a esses pontos de extremidade para minimizar o risco de exploração. Evite usar esses pontos de extremidade até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.