PT-2022-13677 · Snipe-It · Snipe-It
Publicado
2022-03-30
·
Atualizado
2022-04-05
·
CVE-2022-1155
CVSS v3.1
7.4
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:L |
Nome do software vulnerável e versões afetadas
Versões do Snipe-IT anteriores à 5.3.10
Versões 5.4.1 e 6.0.0-RC-5 do Snipe-IT
Descrição
O problema decorre do fato de que sessões antigas não são bloqueadas pela função de habilitação de login, e sessões ativas não são revogadas quando uma conta de usuário é desativada. Isso permite que um usuário desativado ainda acesse informações às quais não deveria mais ter acesso.
Recomendações
Para versões do Snipe-IT anteriores à 5.3.10, atualize para a versão 5.3.10 ou posterior.
Para as versões 5.4.1 e 6.0.0-RC-5 do Snipe-IT, atualize para a versão 6.0.0-RC-6 ou 5.4.2.
Como solução alternativa temporária, considere usar o comando de console KillAllSessions, limpar o conteúdo do diretório storage/framework/sessions ou alterar o nome do cookie para mitigar o problema, mas esteja ciente de que essas opções desconectarão todos os usuários.
Exploit
Correção
Insufficient Session Expiration
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Snipe-It