PT-2021-22248 · Eigen Nlp · Eigen Nlp
Thomas Pianezzola
·
Publicado
2021-09-07
·
Atualizado
2022-07-12
·
CVE-2021-38616
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Eigen NLP versão 3.10.1
Descrição
A falta de controle de acesso no endpoint de edição do usuário “/auth/v1/user/{user-guid}/” poderia permitir que qualquer usuário conectado aumentasse suas próprias permissões por meio de uma matriz
user permissions em uma solicitação PATCH. Um usuário convidado poderia modificar os perfis de outros usuários e muito mais.Recomendações
Para o Eigen NLP versão 3.10.1, restrinja o acesso ao endpoint “/auth/v1/user/{user-guid}/” para impedir modificações não autorizadas e considere implementar um controle de acesso adequado para impedir que os usuários aumentem suas próprias permissões por meio da matriz
user permissions. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade. Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Eigen Nlp