PT-2022-3285 · Ping Identity · Pingid Windows Login
Publicado
2022-06-30
·
Atualizado
2023-07-13
·
CVE-2022-23725
CVSS v3.1
7.7
Alta
| Vetor | AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:L |
Nome do software vulnerável e versões afetadas
Versões do PingID Windows Login anteriores à 2.8
Descrição
O problema está relacionado à proteção insuficiente dos dados de registro no aplicativo PingID Windows Login, o que pode permitir que um invasor acesse dados confidenciais. A falha ocorre quando o software não define corretamente as permissões nas entradas do Registro do Windows usadas para armazenar chaves de API confidenciais em determinadas circunstâncias.
Recomendações
Para versões anteriores à 2.8, atualize para a versão 2.8 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso às entradas do Registro do Windows usadas para armazenar chaves de API confidenciais, a fim de minimizar o risco de exploração.
Correção
Authentication Bypass Using an Alternate Path or Channel
Insufficiently Protected Credentials
Incorrect Permission
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Pingid Windows Login