PT-2021-8692 · Red Hat · Redhat-Certification
Riccardo Schirone
·
Publicado
2021-05-26
·
Atualizado
2023-02-10
·
CVE-2018-10866
CVSS v3.1
9.1
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H |
Nome do software vulnerável e versões afetadas
redhat-certification versão 7
Descrição
O problema diz respeito à visualização /configuration do redhat-certification, que não realiza uma verificação de autorização. Isso permite que um usuário não autenticado remova um arquivo do sistema, especificamente um arquivo XML contendo informações relacionadas ao host que não lhe pertencem.
Recomendações
Para o redhat-certification versão 7, considere restringir o acesso à visualização /configuration para impedir a remoção não autorizada de arquivos do sistema até que uma verificação de autorização adequada seja implementada. Como solução temporária, restrinja o acesso aos arquivos XML do sistema para minimizar o risco de exploração.
Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Redhat-Certification