CVE-2021-44840

Delta RM versão 1.2

Foi detectada uma falha no Delta RM que permite que um invasor com uma conta privilegiada edite, crie e exclua rótulos de risco, incluindo rótulos de indicação de criticidade e prioridade. Isso pode ser feito usando o endpoint “/core/table/query” com uma solicitação POST, especificando a etiqueta afetada com o parâmetro tableUid e a operação com datas[query]. As etiquetas vulneráveis incluem Indicação de Prioridade, Avaliação de Qualidade, Margem de Progresso e Prioridade. Além disso, é possível exportar etiquetas de Criticidade com um usuário sem privilégios.

Para a versão 1.2 do Delta RM, considere restringir o acesso ao endpoint “/core/table/query” para impedir modificações não autorizadas nas etiquetas de risco. Como solução alternativa temporária, limite o uso do parâmetro tableUid e de datas[query] para minimizar o risco de exploração. Evite usar o parâmetro tableUid e datas[query] com usuários sem privilégios para impedir a exportação de rótulos de criticidade. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.