PT-2022-11787 · Compass Plus · Compass Plus Tranzware Online Fimi Web Interface Fimi
Publicado
2022-02-14
·
Atualizado
2022-02-23
·
CVE-2021-43106
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Compass Plus TranzWare Online FIMI Web Interface Tranzware Online (TWO) versão 5.3.33.3 F38
Compass Plus TranzWare Online FIMI Web Interface FIMI versão 4.2.19.4 25
Descrição
Existe uma vulnerabilidade de injeção de cabeçalho, permitindo a manipulação do cabeçalho HTTP Host, o que pode fazer com que o aplicativo se comporte de maneira inesperada. O servidor confia no cabeçalho Host sem validação ou escape adequados, permitindo que um invasor redirecione usuários para um domínio ou página da Web maliciosa, o que pode levar a novos ataques.
Recomendações
Para a versão 5.3.33.3 F38, considere implementar a validação e o escape adequados do cabeçalho Host para impedir a manipulação.
Para a versão 4.2.19.4 25, restrinja o acesso ao cabeçalho de host HTTP ou desative-o até que uma correção esteja disponível.
Como solução alternativa temporária, considere restringir o cabeçalho
Host na solicitação HTTP para minimizar o risco de exploração.Exploit
Correção
Improper Encoding or Escaping of Output
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Compass Plus Tranzware Online Fimi Web Interface Fimi