PT-2022-26449 · Apache · Apache Isis
Dan Haywood
+1
·
Publicado
2022-10-19
·
Atualizado
2024-08-01
·
CVE-2022-42467
CVSS v4.0
6.9
Média
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do Apache Isis anteriores à 2.0.0-M8
Descrição
O módulo h2 webconsole é automaticamente disponibilizado quando o sistema é executado no modo de protótipo, permitindo consultas diretas ao banco de dados. Para melhorar a segurança, a capacidade de acessar o webconsole agora requer ativação explícita pelo desenvolvedor usando a propriedade de configuração
isis.prototyping.h2-console.web-allow-remote-access. Uma proteção adicional, o parâmetro de configuração isis.prototyping.h2-console.generate-random-web-admin-password, exige uma senha gerada aleatoriamente para acesso ao console, que é impressa no log como webAdminPass: xxx. O console web h2 nunca está disponível no modo de produção.Recomendações
Para resolver o problema, defina a propriedade de configuração
isis.prototyping.h2-console.web-allow-remote-access como true e o parâmetro de configuração isis.prototyping.h2-console.generate-random-web-admin-password como false para reverter ao comportamento original. Como alternativa, atualize para a versão 2.0.0-M8 ou posterior, na qual o console web não estará disponível sem a configuração isis.prototyping.h2-console.web-allow-remote-access. Como solução temporária, considere restringir o acesso ao módulo do console web h2 até que o problema seja resolvido.Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Isis