PT-2022-3418 · Countly · Countly-Server
Hakupiku
·
Publicado
2022-05-17
·
Atualizado
2022-05-30
·
CVE-2022-29174
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do countly-server anteriores à 22.03.7
Versões do countly-server anteriores à 21.11.4
Descrição
O problema está relacionado a uma vulnerabilidade no mecanismo de recuperação de senha do countly-server, permitindo que um invasor remoto altere a senha de um usuário e obtenha privilégios elevados. Um invasor que conheça o endereço de e-mail/nome de usuário e o nome completo de uma conta, especificados no banco de dados, pode adivinhar o token de redefinição de senha, usar essas informações para redefinir a senha e assumir o controle da conta.
Recomendações
Para versões anteriores à 22.03.7, atualize para a versão 22.03.7 ou posterior para servidores que utilizam a nova interface de usuário.
Para versões anteriores à 21.11.4, atualize para a versão 21.11.4 ou posterior para servidores que utilizam a interface de usuário antiga.
Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Countly-Server