PT-2022-16843 · Volto+1 · Volto+1
Sneridagh
·
Publicado
2022-03-14
·
Atualizado
2022-03-22
·
CVE-2022-24740
CVSS v2.0
6.0
Média
| Vetor | AV:N/AC:M/Au:S/C:P/I:P/A:P |
Nome do software vulnerável e versões afetadas
Versões do Volto 14.0.0-alpha.5 a 15.0.0-alpha.0
Descrição
O problema ocorre ao usar uma versão desatualizada da biblioteca
react-cookie e quando um servidor está sob alta carga, permitindo que o cookie de autenticação de um usuário seja substituído pelo de outro usuário, efetivamente dando a ele controle sobre a conta e os privilégios do outro usuário. Embora não exista atualmente uma prova de conceito, é possível que esse problema ocorra em ambiente real.Recomendações
Para as versões do Volto 14.0.0-alpha.5 a 15.0.0-alpha.0, atualize para o Volto 15.0.0-alpha.0 ou posterior para resolver o problema.
Como solução alternativa temporária, atualize manualmente o pacote
react-cookie para a versão 4.1.1 e substitua todos os componentes do Volto que utilizam essa biblioteca.Exploit
Correção
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Volto
React-Cookie