PT-2022-11790 · Nacos · Nacos
Publicado
2022-07-05
·
Atualizado
2023-04-03
·
CVE-2021-43116
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Nacos versão 2.0.3
Descrição
Existe uma falha de controle de acesso na página de solicitação de login. Um usuário mal-intencionado pode efetuar o login capturando pacotes, inserindo
username e password, clicando em “login” e, em seguida, alterando o pacote retornado.Recomendações
Para a versão 2.0.3 do Nacos, considere restringir temporariamente o acesso à funcionalidade de login até que uma correção esteja disponível. Como solução alternativa, monitore o tráfego de rede em busca de modificações suspeitas nos pacotes para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Improper Authentication
Using Hardcoded Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Nacos