PT-2022-26178 · Dhis2 · Dhis2
Philip-Larsen-Donnelly
·
Publicado
2022-12-08
·
Atualizado
2022-12-12
·
CVE-2022-41949
CVSS v3.1
5.0
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do DHIS2 anteriores à 2.36.12.1
Versões do DHIS2 anteriores à 2.37.8.1
Versões do DHIS2 anteriores à 2.38.2.1
Versões do DHIS2 anteriores à 2.39.0.1
Descrição
O DHIS 2 é um sistema de informação de código aberto para captura, gerenciamento, validação, análise e visualização de dados. Nas versões afetadas, um usuário autenticado do DHIS2 pode criar uma solicitação ao DHIS2 para instruir o servidor a fazer solicitações a recursos externos, como servidores de terceiros. Isso poderia permitir que um invasor identificasse serviços vulneráveis que, de outra forma, não estariam expostos à internet pública ou determinasse se um arquivo específico está presente no servidor DHIS2.
Recomendações
Para versões anteriores à 2.36.12.1, atualize para a versão 2.36.12.1.
Para versões anteriores à 2.37.8.1, atualize para a versão 2.37.8.1.
Para versões anteriores à 2.38.2.1, atualize para a versão 2.38.2.1.
Para versões anteriores à 2.39.0.1, atualize para a versão 2.39.0.1.
Exploit
Correção
SSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Dhis2