CVE-2022-39267

Versões do Bifrost anteriores à 1.8.8-release

O problema está relacionado à contornamento da autenticação nos grupos de usuários admin e monitor. Isso pode ser feito excluindo o campo X-Requested-With: XMLHttpRequest no cabeçalho da solicitação. Não há detalhes conhecidos sobre o número estimado de dispositivos potencialmente afetados em todo o mundo ou incidentes reais em que essa vulnerabilidade tenha sido explorada.

Para versões anteriores à 1.8.8-release, atualize para a versão 1.8.8-release ou posterior para resolver o problema.

Como solução temporária, considere restringir o acesso aos grupos de usuários admin e monitor até que um patch seja aplicado.

Evite modificar o cabeçalho X-Requested-With nas solicitações para minimizar o risco de exploração.