CVE-2021-41847

3xLogic Infinias Access Control, versões 3.x a 6.7.10708.0

Foi descoberta uma falha que afeta a segurança física, na qual usuários com credenciais de login atribuídas a uma zona específica podem enviar solicitações HTTP GET e POST modificadas para visualizar dados de usuários, incluindo informações pessoais e credenciais de cartões Prox. Além disso, um usuário autorizado de uma zona pode enviar solicitações de API para desbloquear fechaduras eletrônicas associadas a zonas às quais não tem permissão de acesso e criar novos logins de usuário para zonas às quais não tem permissão de acesso, incluindo a zona raiz do software.

Para as versões 3.x a 6.7.10708.0, considere restringir o acesso a pontos de extremidade da API que permitam o desbloqueio de fechaduras eletrônicas e a criação de novos logins de usuário, e limite a capacidade de enviar solicitações HTTP modificadas apenas a zonas autorizadas. Como solução alternativa temporária, considere desativar a capacidade de criar novos logins de usuário para zonas não autorizadas até que um patch esteja disponível. Restrinja o acesso a dados confidenciais do usuário, como informações pessoais e credenciais de cartão Prox, para minimizar o risco de exploração.