PT-2021-23524 · Unknown+8 · Gnu Mailman+8

Andre Protas

+2

·

Publicado

2021-10-21

·

Atualizado

2024-05-11

·

CVE-2021-42097

CVSS v2.0

8.5

Alta

VetorAV:N/AC:M/Au:S/C:C/I:C/A:C
Nome do software vulnerável e versões afetadas
Versões do GNU Mailman anteriores à 2.1.35
Descrição
A vulnerabilidade permite a escalada remota de privilégios. Um valor csrf token não é específico a uma única conta de usuário. Um invasor pode obter um valor no contexto de uma conta de usuário sem privilégios e, em seguida, usar esse valor em um ataque CSRF contra um administrador, o que pode levar à apropriação da conta.
Recomendações
Para versões anteriores à 2.1.35, atualize para a versão 2.1.35 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso às contas de administrador ou implementar medidas adicionais de proteção contra CSRF até que um patch seja aplicado.

Correção

CSRF

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-352

Identificadores relacionados

ALSA-2021:4826
ALT-PU-2021-3235
ALT-PU-2021-3277
ALT-PU-2021-3299
ALT-PU-2021-3532
ALT-PU-2024-7639
CESA-2021_4826
CESA-2021_4913
CVE-2021-42097
DLA-2791-1
DSA-4991-1
OESA-2021-1405
OPENSUSE-SU-2021:1436-1
OPENSUSE-SU-2021:1452-1
OPENSUSE-SU-2021_1436-1
RHSA-2021:4826
RHSA-2021:4837
RHSA-2021:4838
RHSA-2021:4839
RHSA-2021:4913
RHSA-2021_4826
RHSA-2021_4913
RLSA-2021:4826
USN-5121-1
USN-5121-2

Produtos afetados

Alt Linux
Almalinux
Centos
Gnu Mailman
Linuxmint
Red Hat
Rocky Linux
Suse
Ubuntu