PT-2021-7937 · Redmine · Redmine
Felix Schäfer
+1
·
Publicado
2021-08-05
·
Atualizado
2024-03-06
·
CVE-2021-37156
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:N/I:C/A:N |
Nome do software vulnerável e versões afetadas
Versões 4.2.0 a 4.2.1 do Redmine
Descrição
O problema está relacionado à expiração incorreta da sessão no Redmine, uma aplicação web para gerenciamento de projetos e tarefas. Quando a autenticação de dois fatores está ativada para a conta de um usuário, as sessões existentes não são encerradas conforme o esperado, permitindo que continuem ativas. Isso poderia ser potencialmente explorado por um invasor remoto para continuar acessando a conta do usuário sem a autenticação adequada.
Recomendações
Para as versões 4.2.0 e 4.2.1 do Redmine, considere encerrar todas as sessões de usuário existentes imediatamente após ativar a autenticação de dois fatores para a conta do usuário como uma solução temporária.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Insufficient Session Expiration
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Redmine