PT-2022-17706 · Jforum · Jforum
Publicado
2022-06-16
·
Atualizado
2022-06-28
·
CVE-2022-26173
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
JForum versão 2.8.0
Descrição
A vulnerabilidade permite que invasores realizem um ataque de falsificação de solicitação entre sites (CSRF) por meio do endpoint “http://target host:port/jforum-2.8.0/jforum.page”, possibilitando-lhes adicionar contas de administrador arbitrariamente.
Recomendações
Para o JForum versão 2.8.0, considere restringir o acesso ao endpoint “http://target host:port/jforum-2.8.0/jforum.page” para minimizar o risco de exploração. Como solução temporária, revise e limite a criação de novas contas de administrador até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jforum