PT-2022-15964 · Softing · Softing Secure Integration Server
Pedro Ribeiro
+1
·
Publicado
2022-08-17
·
Atualizado
2022-08-23
·
CVE-2022-2338
CVSS v3.1
5.7
Média
| Vetor | AV:A/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Softing Secure Integration Server versão V1.22
Descrição
A vulnerabilidade permite a contornar a autenticação por meio de um ataque de intermediário (man-in-the-middle). A interface de administração é acessível por padrão através do protocolo HTTP em texto simples, o que facilita o ataque. Uma solicitação HTTP pode conter um cookie de sessão que pode ser capturado e utilizado para autenticar-se no servidor.
Recomendações
Para o Softing Secure Integration Server versão V1.22, considere desativar o acesso à interface de administração via protocolo HTTP de texto simples como uma solução temporária até que um patch esteja disponível. Restrinja o acesso à interface de administração para minimizar o risco de exploração. Evite usar o cookie de sessão em solicitações HTTP até que o problema seja resolvido.
Correção
Cleartext Transmission of Sensitive Information
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Softing Secure Integration Server