PT-2021-23279 · Pydio · Pydio Cells
Robin Descamps
·
Publicado
2021-09-30
·
Atualizado
2022-07-12
·
CVE-2021-41325
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
Pydio Cells versão 2.2.9
Descrição
A vulnerabilidade diz respeito a uma falha no controle de acesso para a criação de usuários, permitindo que usuários anônimos remotos criem usuários padrão por meio do parâmetro
profile. Além disso, esses usuários podem receber várias permissões de administrador por meio do parâmetro Roles.Recomendações
Para o Pydio Cells versão 2.2.9, considere desativar o recurso de criação de usuários até que uma correção esteja disponível para evitar a exploração. Restrinja o acesso aos parâmetros
profile e Roles para minimizar o risco de criação não autorizada de usuários e concessão de permissões. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade. Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Pydio Cells