PT-2022-22898 · Unknown · Agileconfig
Poq79
·
Publicado
2022-08-18
·
Atualizado
2022-08-19
·
CVE-2022-35540
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do AgileConfig anteriores à 1.6.8
Descrição
A vulnerabilidade permite que invasores remotos obtenham acesso de administrador utilizando um segredo JWT codificado no servidor AgileConfig. Isso pode ser feito por meio do token JWT gerado.
Recomendações
Para versões anteriores à 1.6.8, atualize para a versão 1.6.8 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao endpoint de geração do token JWT para minimizar o risco de exploração.
Correção
Using Hardcoded Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Agileconfig