PT-2022-24822 · Dex · Dex
Bobcallaway
+3
·
Publicado
2022-10-03
·
Atualizado
2023-07-12
·
CVE-2022-39222
CVSS v3.1
9.3
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do Dex anteriores à 2.35.0
Descrição
O Dex é um serviço de identidade que utiliza o OpenID Connect para facilitar a autenticação em outros aplicativos. Um invasor pode explorar essa vulnerabilidade levando a vítima a acessar um site malicioso e guiando-a pelo fluxo OIDC, roubando o código de autorização OAuth durante o processo. O código de autorização pode então ser trocado por um token, obtendo acesso a aplicativos que aceitem esse token.
Recomendações
Para versões anteriores à 2.35.0, atualize para a versão 2.35.0 para resolver a vulnerabilidade. Como solução alternativa temporária, considere desativar clientes públicos para minimizar o risco de exploração. Observe que a desativação de clientes públicos pode afetar o comportamento do sistema. Não há soluções alternativas conhecidas para versões existentes que não afetem o comportamento do sistema.
Exploit
Correção
Missing Authorization
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Dex