PT-2022-15244 · Unknown · Daybyday Crm
Publicado
2022-01-05
·
Atualizado
2022-01-08
·
CVE-2022-22108
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Daybyday CRM, versões 2.0.0 a 2.2.0
Descrição
A vulnerabilidade permite que um invasor com uma conta de privilégios mínimos, especificamente um usuário do tipo “funcionário”, visualize as ausências de todos os usuários do sistema, incluindo administradores. Esse tipo de usuário não está autorizado a visualizar esse tipo de informação.
Recomendações
Para as versões 2.0.0 a 2.2.0 do Daybyday CRM, considere restringir o acesso aos recursos de visualização de ausências para minimizar o risco de exploração até que uma correção esteja disponível. Como solução temporária, limite os privilégios dos usuários do tipo “funcionário” para impedir que acessem informações confidenciais.
Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Daybyday Crm