CVE-2021-41554

ARCHIBUS Web Central versão 21.3.3.815

O problema decorre da falha do software em validar adequadamente as solicitações de acesso a dados e funcionalidades em vários pontos de extremidade afetados: "/ archibus/schema/ab-edit-users.axvw“, ”/archibus/schema/ab-data-dictionary-table.axvw“, ”/archibus/schema/ab-schema-add-field.axvw“ e ”/archibus/schema/ab-core/views/process-navigator/ab-my-user-profile.axvw". Isso permite que qualquer usuário autenticado acesse páginas não destinadas a ele, incluindo o console administrativo para gerenciamento de usuários, solicitando acesso diretamente via URL. Um usuário mal-intencionado pode explorar isso para modificar os perfis de todos os usuários, elevar privilégios a níveis administrativos, criar ou excluir qualquer tipo de usuário e até mesmo modificar os e-mails de outros usuários por meio de uma configuração incorreta do parâmetro username na página de perfil do usuário.

Para a versão 21.3.3.815, considere atualizar para uma versão mais recente, como a versão 26, para corrigir o problema. Como solução temporária, restrinja o acesso ao console administrativo e limite as modificações nos perfis de usuário até que uma atualização possa ser realizada. Além disso, revise e corrija quaisquer configurações incorretas do parâmetro username para evitar modificações não autorizadas de e-mail.