PT-2022-26177 · Dhis2 · Dhis2
Netroms
+1
·
Publicado
2022-12-08
·
Atualizado
2022-12-12
·
CVE-2022-41948
CVSS v3.1
6.7
Média
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:L |
Nome do software vulnerável e versões afetadas
Versões do DHIS 2 anteriores à 2.36.12.1
Versões do DHIS 2 anteriores à 2.37.8.1
Versões do DHIS 2 anteriores à 2.38.2.1
Versões do DHIS 2 anteriores à 2.39.0.1
Descrição
O DHIS 2 é um sistema de informação de código aberto para captura, gerenciamento, validação, análise e visualização de dados. As versões afetadas estão sujeitas a uma vulnerabilidade de escalonamento de privilégios. Um usuário do DHIS 2 com autoridade para gerenciar usuários pode atribuir privilégios de superusuário a si mesmo criando manualmente uma solicitação HTTP PUT. Apenas usuários com as autorizações da função de usuário do DHIS 2 podem explorar essa vulnerabilidade. A vulnerabilidade só pode ser explorada por invasores que consigam se autenticar como usuários com autoridade de administrador. Como esse grupo de usuários é geralmente pequeno e relativamente confiável, os vetores de exploração costumam ser limitados.
Recomendações
Para versões do DHIS 2 anteriores à 2.36.12.1, atualize para a versão 2.36.12.1.
Para versões do DHIS 2 anteriores à 2.37.8.1, atualize para a versão 2.37.8.1.
Para versões do DHIS 2 anteriores à 2.38.2.1, atualize para a versão 2.38.2.1.
Para versões do DHIS 2 anteriores à 2.39.0.1, atualize para a versão 2.39.0.1.
Como solução alternativa temporária, considere evitar a atribuição da autoridade de gerenciamento de usuários a qualquer usuário até que o patch tenha sido aplicado.
Exploit
Correção
Improper Privilege Management
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Dhis2