PT-2022-16915 · Fleetdm+1 · Fleet+1
J5Oh
+1
·
Publicado
2022-04-18
·
Atualizado
2024-12-25
·
CVE-2022-24841
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do fleetdm/fleet anteriores à 4.13
Descrição
O problema consiste em uma falha de contorno de autorização que afeta todas as versões do fleetdm/fleet que utilizam o recurso de equipes. Instâncias do Fleet sem equipes ou com equipes, mas sem contas de equipe restritas, não são afetadas. Nas versões afetadas, um administrador de equipe pode, por engano, adicionar a si mesmo como administrador, mantenedor ou observador em outras equipes.
Recomendações
Para versões anteriores à 4.13, atualize para a versão 4.13 para resolver o problema. Como solução temporária, considere restringir os privilégios de administrador de equipe para impedir o acesso não autorizado a outras equipes. Evite usar o recurso de equipes com contas de equipe restritas até que o problema seja resolvido.
Exploit
Correção
Improper Access Control
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Fleet