CVE-2021-44152

**Nome do software vulnerável e versões afetadas:

Reprise RLM versão 14.2

Descrição:

Foi descoberta uma falha em que o endpoint da API “/goform/change password process” não verifica a autenticação ou autorização, permitindo que um usuário não autenticado altere a senha de qualquer usuário existente. Isso permite que um invasor altere a senha de qualquer usuário conhecido, impedindo que usuários válidos acessem o sistema e concedendo ao invasor acesso total à conta desse usuário.

Recomendações:

Para o Reprise RLM versão 14.2, como solução temporária, considere restringir o acesso ao endpoint da API “/goform/change password process” até que uma correção esteja disponível. Além disso, monitore a atividade das contas de usuário para detectar quaisquer alterações suspeitas de senha. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.