CVE-2021-43442

i3 International Inc. Annexxus Camera, versões V5.0.9 build 150615 (Ax78) a V5.2.0 build 150317 (Ax46)

Existe uma falha de lógica devido à impossibilidade de restringir a criação de mais de uma conta de administrador. Isso pode ser contornado por meio da manipulação de parâmetros usando solicitações PUT e DELETE, e chamando o endpoint ‘UserPermission’ com o ID de uma conta criada e definindo-o como ‘admin’ userType, adicionando com sucesso uma segunda conta administrativa.

Para as versões V5.0.9 build 150615 (Ax78), V5.0.9 build 151106 (Ax68) e V5.2.0 build 150317 (Ax46), considere desativar o endpoint ‘UserPermission’ até que um patch esteja disponível para impedir a criação de contas administrativas não autorizadas. Restrinja o acesso ao parâmetro userType no endpoint ‘UserPermission’ para minimizar o risco de exploração. Evite usar as solicitações PUT e DELETE para manipular parâmetros até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.