CVE-2019-18642

Versões do Rock RMS anteriores à 8.6

A vulnerabilidade permite a apropriação de conta por meio da adulteração do parâmetro user ID no recurso de atualização de perfil. Isso é possível devido à falta de validação e ao uso de IDs de usuário sequenciais, permitindo que qualquer usuário altere os detalhes da conta de qualquer outro usuário. Um invasor poderia explorar essa vulnerabilidade para alterar o endereço de e-mail de outra conta, incluindo a conta de administrador, e, em seguida, realizar uma redefinição de senha para o novo endereço de e-mail a fim de assumir o controle da conta.

Para versões anteriores à 8.6, atualize para a versão 8.6 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao recurso de atualização de perfil para minimizar o risco de exploração. Além disso, evite usar o parâmetro user ID no recurso de atualização de perfil até que o problema seja resolvido.