PT-2022-28272 · Pageflow · Pageflow
Publicado
2022-09-15
·
Atualizado
2022-09-15
Nenhuma
Não há classificações de severidade ou métricas disponíveis. Quando houver, atualizaremos as informações correspondentes na página.
Nome do software vulnerável e versões afetadas
Versões do Pageflow anteriores à 14.5.2
Versões do Pageflow anteriores à 15.7.1
Descrição
A vulnerabilidade permite que invasores alterem objetos de associação vinculados à sua própria conta para que sejam associados a uma conta diferente, comprometendo potencialmente todas as contas na plataforma. Isso pode ser feito criando uma solicitação para o endpoint “/admin/users/{user id}/memberships/{membership id}” com um parâmetro adicional
membership[entity id]. Como os account ids são enumeráveis, um invasor pode explorar isso para acessar todas as contas.Recomendações
Para versões anteriores à 14.5.2, atualize para a versão 14.5.2 da gem
pageflow.Para versões anteriores à 15.7.1, atualize para a versão 15.7.1 da gem
pageflow. Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Pageflow