PT-2022-15685 · Sysaid · Sysaid
Publicado
2022-01-11
·
Atualizado
2022-05-23
·
CVE-2022-22796
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Sysaid (versões afetadas não especificadas)
Descrição
A vulnerabilidade permite que um invasor contorne o processo de autenticação. Isso pode ser feito acessando o endpoint da API “/wmiwizard.jsp”, navegando até o endpoint “/ConcurrentLogin.jsp” e clicando no botão de login, o que redireciona para o endpoint “/home.jsp” sem exigir qualquer autenticação.
Recomendações
Como solução temporária, considere restringir o acesso aos pontos finais da API “/wmiwizard.jsp”, “/ConcurrentLogin.jsp” e “/home.jsp” até que uma correção esteja disponível.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Improper Authentication
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Sysaid