PT-2021-8564 · Unknown · Sapphireims
Tanoy Bose
·
Publicado
2021-08-11
·
Atualizado
2021-08-16
·
CVE-2017-16630
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
SapphireIMS versão 4097 1
Descrição
A vulnerabilidade permite que um usuário convidado crie uma conta de administrador local em qualquer sistema com o SapphireIMS instalado, devido a uma referência direta a objetos insegura (IDOR) na função de criação de usuários locais. Isso significa que a função não restringe adequadamente o acesso aos objetos, permitindo que usuários não autorizados realizem ações que não deveriam poder realizar.
Recomendações
Para o SapphireIMS versão 4097 1, considere restringir o acesso à função de criação de usuários locais para impedir que usuários convidados criem contas de administrador local até que um patch esteja disponível. Como solução alternativa temporária, limite os privilégios dos usuários convidados para minimizar o risco de exploração.
Correção
Incorrect Permission
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Sapphireims