PT-2022-15015 · Unknown · Gin-Vue-Admin
Uzju
·
Publicado
2022-02-09
·
Atualizado
2022-02-15
·
CVE-2022-21660
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do Gin-vue-admin anteriores à 2.4.7
Descrição
A vulnerabilidade afeta o Gin-vue-admin, um sistema de gerenciamento de back-end baseado em Vue e Gin, no qual usuários com privilégios reduzidos podem alterar os privilégios de usuários com privilégios superiores devido à falta de autenticação na função
setUserInfo. Recomenda-se que os usuários atualizem o software o mais rápido possível. Não há soluções alternativas conhecidas.Recomendações
Para versões anteriores à 2.4.7, atualize para a versão 2.4.7 ou posterior o mais rápido possível para resolver o problema. Como solução alternativa temporária, considere desativar a função
setUserInfo até que um patch esteja disponível.Exploit
Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Gin-Vue-Admin