PT-2022-5375 · Apache+2 · Apache Tomcat+2
Gaurish Kauthankar
·
Publicado
2022-09-28
·
Atualizado
2023-02-22
·
CVE-2022-43980
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Apache Tomcat (versões afetadas não especificadas)
Pandora FMS versão 7.65
Descrição
O problema diz respeito a erros de sincronização ao utilizar um recurso compartilhado no Apache Tomcat, o que poderia permitir que um invasor remoto obtivesse acesso não autorizado a informações protegidas. Além disso, há um problema de cross-site scripting armazenado no Pandora FMS, especificamente na funcionalidade de edição de mapas de rede. Isso poderia permitir que um invasor modificasse um mapa de rede para incluir uma carga XSS, que seria executada se um usuário administrador clicasse no mapa editado, levando potencialmente ao roubo do cookie do usuário administrador.
Recomendações
Para o Apache Tomcat, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Para o Pandora FMS versão 7.65, considere restringir o acesso à funcionalidade de edição de mapas de rede até que um patch esteja disponível e evite clicar em mapas de rede editados para minimizar o risco de exploração.
Exploit
Information Disclosure
XSS
CSRF
Race Condition
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Apache Tomcat
Pandora Fms
Red Os