PT-2022-3410 · Unknown+5 · Eventsource+5

Timothee Desurmont

·

Publicado

2022-05-12

·

Atualizado

2023-08-02

·

CVE-2022-1650

CVSS v2.0

9.4

Crítica

VetorAV:N/AC:L/Au:N/C:C/I:C/A:N
Nome do software vulnerável e versões afetadas
eventsource/versões do eventsource anteriores à 2.0.2
Descrição
O problema está relacionado à proteção insuficiente de dados confidenciais, permitindo que um invasor remoto obtenha acesso não autorizado a informações protegidas. Isso se deve à remoção inadequada de informações confidenciais antes do armazenamento ou da transferência. Ao acessar uma URL com um link para um site externo, os cookies e os cabeçalhos de autorização dos usuários são vazados para o aplicativo de terceiros, violando a política de mesma origem.
Recomendações
Para versões anteriores à 2.0.2, atualize para a versão 2.0.2 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso a informações confidenciais e sanitizar cabeçalhos ao redirecionar para sites externos, a fim de minimizar o risco de exploração.

Exploit

Correção

Information Disclosure

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-200CWE-212

Identificadores relacionados

BDU:2022-04184
CESA-2022_6057
CVE-2022-1650
DLA-3235-1
GHSA-6H5X-7C5M-7CR7
RHSA-2022:6037
RHSA-2022:6057
RHSA-2022_6057
RLSA-2022:6057
USN-6082-1

Produtos afetados

Centos
Linuxmint
Red Hat
Rocky Linux
Ubuntu
Eventsource