PT-2021-8690 · Red Hat · Redhat-Certification
Riccardo Schirone
·
Publicado
2021-05-26
·
Atualizado
2023-02-10
·
CVE-2018-10863
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
redhat-certification versão 7
Descrição
O problema está relacionado a uma configuração incorreta, que permite a listagem de todos os arquivos e diretórios no diretório /var/www/rhcert/store/transfer por meio do endpoint da API “/rhcert-transfer”. Isso poderia ser explorado por um invasor não autorizado para coletar informações confidenciais.
Recomendações
Para o redhat-certification versão 7, restrinja o acesso à URL /rhcert-transfer para impedir a listagem não autorizada de arquivos e diretórios.
Correção
Files Accessible to External Parties
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Redhat-Certification