PT-2022-12449 · Ponton · Ponton X/P Messenger
Publicado
2022-03-13
·
Atualizado
2022-03-20
·
CVE-2021-45886
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do PONTON X/P Messenger anteriores à 3.11.2
Descrição
Foi descoberta uma falha em que os tokens anti-CSRF são globalmente válidos, tornando o aplicativo web vulnerável a uma versão enfraquecida do CSRF. Isso permite que um token arbitrário de um usuário com privilégios reduzidos, como um operador, seja usado para confirmar ações de usuários com privilégios superiores, como o xpadmin.
Recomendações
Para versões anteriores à 3.11.2, atualize para a versão 3.11.2 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a ações com privilégios mais elevados para minimizar o risco de exploração.
Exploit
Correção
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ponton X/P Messenger