CVE-2021-41553

ARCHIBUS Web Central versões 21.3.3.815 e anteriores

O problema decorre da aplicação web em /archibus/login.axvw, onde poderia ser atribuído um token de sessão que já estivesse em uso por outro usuário. Isso permitia o acesso à aplicação sem conhecer as credenciais do usuário. Também era possível definir o valor do token de sessão no lado do cliente, fazendo uma solicitação GET não autenticada à página inicial e adicionando um valor arbitrário ao campo JSESSIONID. O aplicativo não atribuía um novo token após o login, continuando a usar o inserido como identificador de sessão. Esta vulnerabilidade afeta apenas produtos que não são mais suportados pelo mantenedor.

Para as versões 21.3.3.815 e anteriores do ARCHIBUS Web Central, atualize para uma versão posterior à 21.3, como a versão 26, para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint /archibus/login.axvw para minimizar o risco de exploração. Evite usar o campo JSESSIONID no endpoint da API afetado até que o problema seja resolvido.