PT-2021-22293 · Ice Hrm · Ice Hrm
Publicado
2021-10-04
·
Atualizado
2021-10-12
·
CVE-2021-38823
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
IceHrm versão 30.0.0 OS
Descrição
O problema está relacionado ao gerenciamento de sessões, pois o logout de uma conta de administrador não invalida uma sessão de administrador aberta em um navegador diferente. Isso poderia permitir o acesso não autorizado à conta de administrador.
Recomendações
Para o IceHrm versão 30.0.0 OS, como solução temporária, considere implementar um mecanismo para invalidar todas as sessões ativas quando uma conta de administrador for desconectada ou restringir o acesso a recursos confidenciais até que uma correção adequada esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.
Exploit
Correção
Insufficient Session Expiration
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ice Hrm