PT-2022-11828 · Fresenius Kabi · Fresenius Kabi Vigilant Software Suite
Dr. Oliver Matula
+3
·
Publicado
2022-01-21
·
Atualizado
2022-08-09
·
CVE-2021-43355
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Fresenius Kabi Vigilant Software Suite (Mastermed Dashboard) versão 2.0.1.3
Descrição
A vulnerabilidade permite que as entradas do usuário sejam validadas no lado do cliente sem a devida autenticação pelo servidor. Isso é problemático porque o servidor não deve confiar exclusivamente na exatidão dos dados enviados pelo cliente, já que os usuários podem não suportar ou bloquear JavaScript, ou podem contornar intencionalmente as verificações do lado do cliente. Um invasor com conhecimento do usuário do serviço poderia explorar essa vulnerabilidade contornando o controle do lado do cliente, o que poderia permitir que ele fizesse login com privilégios de serviço.
Recomendações
Para o Fresenius Kabi Vigilant Software Suite (Mastermed Dashboard) versão 2.0.1.3, considere implementar a validação no lado do servidor para autenticar adequadamente as entradas do usuário, garantindo que o servidor não dependa apenas das verificações no lado do cliente. Como solução alternativa temporária, restrinja o acesso às contas de usuário do serviço para minimizar o risco de exploração.
Correção
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Fresenius Kabi Vigilant Software Suite