PT-2021-22266 · Unknown · Cliniccases
Publicado
2021-09-07
·
Atualizado
2021-09-11
·
CVE-2021-38705
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
ClinicCases versão 7.3.3
Descrição
A vulnerabilidade permite ataques de falsificação de solicitação entre sites (CSRF), nos quais um usuário autenticado que clicar em um link malicioso pode resultar na execução de ações arbitrárias com o nível de privilégios do usuário visado. Isso pode ser explorado para criar uma conta de administrador secundária para o invasor.
Recomendações
Para a versão 7.3.3 do ClinicCases, como solução temporária, considere implementar validação adicional para solicitações a fim de prevenir ataques CSRF, como verificar a origem das solicitações ou usar tokens para validar as intenções do usuário. No entanto, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Cliniccases