PT-2022-12618 · Unknown · Scratchoauth2
Apple502J
·
Publicado
2022-02-15
·
Atualizado
2022-07-12
·
CVE-2021-46249
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do ScratchOAuth2 anteriores ao commit d856dc704b2504cd3b92cf089fdd366dd40775d6
Descrição
Existe uma falha de contorno de autorização devido a uma chave controlada pelo usuário na API REST do SpecificApps. Isso permite que os proprietários de aplicativos definam sinalizadores indicando se um aplicativo é verificado em seus próprios aplicativos. A falha está relacionada ao endpoint da
API REST do SpecificApps e a uma chave controlada pelo usuário.Recomendações
Para versões do ScratchOAuth2 anteriores ao commit d856dc704b2504cd3b92cf089fdd366dd40775d6, atualize para uma versão que inclua o commit d856dc704b2504cd3b92cf089fdd366dd40775d6 para resolver a vulnerabilidade. Como solução alternativa temporária, considere restringir o acesso à API REST do SpecificApps para minimizar o risco de exploração.
Correção
IDOR
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Scratchoauth2