PT-2022-16301 · Ruoyi · Ruoyi
Sanlang
·
Publicado
2022-03-30
·
Atualizado
2022-04-04
·
CVE-2022-23869
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
RuoYi versão 4.7.2
Descrição
A vulnerabilidade permite que um usuário sem permissão redefina a senha de outro usuário por meio de um endpoint de API específico. Especificamente, o usuário
test1 não tem permissão para redefinir a senha do usuário test3 pela interface WebUI, mas pode fazê-lo por meio do endpoint de API “/system/user/resetPwd”.Recomendações
Para a versão 4.7.2 do RuoYi, como solução temporária, considere restringir o acesso ao endpoint da API “/system/user/resetPwd” para impedir redefinições de senha não autorizadas. Além disso, revise e ajuste as configurações de permissão para garantir que apenas usuários autorizados possam redefinir senhas. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Incorrect Permission
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ruoyi