PT-2022-12243 · Delta Rm · Delta Rm
Renato Cruz
·
Publicado
2022-01-18
·
Atualizado
2022-01-25
·
CVE-2021-44839
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
Delta RM versão 1.2
Descrição
Foi descoberta uma falha que permite solicitar uma nova senha para qualquer outra conta usando o ID da conta. Um usuário pode enviar uma matriz JSON com IDs de usuário para o endpoint “/listes/DTsendmaildata/adm utilisateur/send-mail.json”, o que redefinirá as senhas e enviará novas senhas para os respectivos endereços de e-mail.
Recomendações
Para o Delta RM versão 1.2, como solução temporária, considere restringir o acesso ao endpoint “/listes/DTsendmaildata/adm utilisateur/send-mail.json” até que um patch esteja disponível. Evite usar este endpoint para enviar solicitações de redefinição de senha para outras contas. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Delta Rm