PT-2022-21450 · Wwbn · Avideo
Claudio Bozzato
·
Publicado
2022-08-22
·
Atualizado
2022-08-24
·
CVE-2022-32768
CVSS v3.1
4.8
Média
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:L |
Nome do software vulnerável e versões afetadas
WWBN AVideo versão 11.6
Descrição
Existem várias falhas de contorno de autenticação na funcionalidade de gerenciamento de IDs de objetos. Uma solicitação HTTP especialmente criada por um usuário autenticado pode levar ao acesso não autorizado e à apropriação de recursos. Um invasor pode enviar uma solicitação HTTP para acionar essa falha. Essa falha existe no plugin Live Schedules, permitindo que um invasor contorne a autenticação ao adivinhar um ID sequencial, o que lhe permite assumir o controle das transmissões de outro usuário.
Recomendações
Para a versão 11.6, considere desativar o plug-in Live Schedules até que uma correção esteja disponível para impedir que invasores contornem a autenticação e assumam o controle das transmissões dos usuários.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Avideo