PT-2021-23241 · Omikron · Omikron Multicash Desktop
Manuel Stotz
+1
·
Publicado
2021-10-05
·
Atualizado
2021-10-09
·
CVE-2021-41286
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Omikron MultiCash Desktop versão 4.00.008.SP5
Descrição
O problema decorre de um mecanismo de autenticação do lado do cliente. Quando um usuário faz login, a validade da senha é verificada localmente. Toda a comunicação com o backend do banco de dados utiliza a mesma conta técnica. Um invasor pode explorar essa vulnerabilidade anexando um depurador ao processo ou criando um patch que manipule a função de login para sempre retornar um valor de sucesso, permitindo o login com qualquer conta, incluindo a conta administrativa.
Recomendações
Para o Omikron MultiCash Desktop versão 4.00.008.SP5, considere desativar a função de login até que um patch esteja disponível para impedir a exploração. Restrinja o acesso à conta administrativa para minimizar o risco. Evite usar o aplicativo até que uma correção seja fornecida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Omikron Multicash Desktop