PT-2022-15250 · Unknown · Daybyday Crm
Publicado
2022-01-13
·
Atualizado
2022-02-25
·
CVE-2022-22113
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
DayByDay CRM, versões 2.2.0 a 2.2.1
Descrição
O problema está relacionado à expiração insuficiente da sessão. Quando uma senha é alterada pelo usuário ou por um administrador, um usuário que já estava conectado continuará tendo acesso ao aplicativo mesmo após a alteração da senha.
Recomendações
Para as versões 2.2.0 a 2.2.1 do DayByDay CRM, considere implementar um mecanismo de expiração de sessão que invalide as sessões existentes quando a senha de um usuário for alterada, a fim de impedir o acesso não autorizado.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Insufficient Session Expiration
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Daybyday Crm