CVE-2022-23720

Versões do PingID Windows Login anteriores à 2.8

O problema está relacionado ao uso incorreto de APIs privilegiadas no software de autenticação multifatorial (MFA) PingID para Windows. Isso poderia permitir que um invasor elevasse seus privilégios. Especificamente, se o PingID Windows Login for provisionado com um arquivo de propriedades do PingID com permissões totais, ele não emite alertas nem interrompe a operação, o que pode levar à exposição de credenciais confidenciais. Um invasor poderia aproveitar essas credenciais para realizar ações administrativas contra APIs ou endpoints do PingID, como /api/v1/login ou /users/{id}, explorando as variáveis username e password.

Para versões anteriores à 2.8, certifique-se de que o arquivo de propriedades do PingID com permissões totais não seja usado fora de um limite de confiança privilegiado para evitar a exposição de credenciais confidenciais. Como solução temporária, considere restringir o acesso às APIs ou endpoints do PingID até que um patch esteja disponível. Evite usar arquivos de propriedades com permissões totais em endpoints de usuários para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.