CVE-2021-44877

**Nome do software vulnerável e versões afetadas:

Dalmark Systems Systeam versão 2.22.8 build 1724

Descrição:

O aplicativo Systeam, um sistema ERP com arquitetura mista baseada em gerenciamento de locatários e usuários SaaS, além de componentes locais de banco de dados e aplicativo web, apresenta uma vulnerabilidade de falha no controle de acesso. Essa vulnerabilidade é encontrada ao usar um token gerado temporariamente para consumir recursos da API, permitindo que um invasor não autenticado gere um token JWT temporário. O invasor pode usar esse token para solicitar parâmetros de configuração do sistema por meio de solicitações diretas à API, resultando na exposição de informações confidenciais. Se o locatário tiver um conjunto de credenciais SMTP, as informações completas das credenciais serão divulgadas.

Recomendações:

Para a versão 2.22.8 build 1724 do Dalmark Systems Systeam, considere desativar o uso de tokens gerados temporariamente para o consumo de recursos da API até que um patch esteja disponível. Restrinja o acesso a pontos de extremidade da API que permitam a geração de tokens JWT temporários para minimizar o risco de exploração. Evite usar solicitações diretas à API para solicitar parâmetros de configuração do sistema até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.