PT-2021-2273 · Unknown · Mbconnect24
Publicado
2021-03-02
·
Atualizado
2021-03-09
·
CVE-2020-12528
CVSS v3.1
7.7
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H |
**Nome do software vulnerável e versões afetadas:
mymbCONNECT24 e mbCONNECT24 até a versão V2.6.2
Descrição:
O problema está relacionado ao uso inadequado da validação de acesso, permitindo que um usuário conectado encerre sessões do web2go em uma conta à qual não deveria ter acesso. Isso se deve a um gerenciamento de privilégios inseguro, que pode ser explorado por um invasor remoto para encerrar sessões do web2go em contas não autorizadas.
Recomendações:
Para versões até a V2.6.2, considere restringir o acesso à funcionalidade de gerenciamento de sessões do web2go até que uma correção esteja disponível. Como solução temporária, limite os privilégios dos usuários conectados para impedir que acessem contas às quais não deveriam ter acesso.
Correção
Improper Privilege Management
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Mbconnect24