CVE-2022-24689

DSK DSKNet, versões 2.16.136.0 a 2.17.136.5

O problema diz respeito a um tratamento incorreto do controle de acesso, permitindo que um invasor remoto acesse páginas de informações de conta, incluindo dados pessoais, sem autenticação. As informações acessíveis incluem números de crachá que servem como nomes de login do usuário, os quais são protegidos por um código PIN de 4 dígitos. Esse código PIN pode ser potencialmente adivinhado por meio de tentativas de força bruta, com um máximo de 10.000 tentativas.

Para as versões 2.16.136.0 a 2.17.136.5, considere restringir o acesso às páginas de informações da conta até que uma correção adequada para o problema de controle de acesso seja implementada. Como solução alternativa temporária, reforçar a segurança do código PIN, como aumentar seu comprimento ou implementar um método de autenticação mais seguro, pode ajudar a minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.