PT-2022-16671 · Unknown · Simple Diagnostics Agent
Yvan Genuer
·
Publicado
2022-03-08
·
Atualizado
2022-10-29
·
CVE-2022-24396
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
O Simple Diagnostics Agent, das versões 1.0 até a versão 1.57
Descrição
O problema diz respeito à ausência de verificações de autenticação para funcionalidades acessíveis via localhost na porta HTTP 3005. Isso permite que um invasor acesse funcionalidades administrativas ou privilegiadas, podendo ler, modificar ou excluir informações e configurações confidenciais.
Recomendações
Para as versões 1.0 até a versão 1.57, considere restringir o acesso à porta http 3005 para minimizar o risco de exploração. Como solução temporária, limite o uso de funcionalidades administrativas até que um mecanismo de autenticação adequado seja implementado. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
Missing Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Simple Diagnostics Agent