PT-2022-7096 · Pcvue · Pcvue
Arc Informatique
·
Publicado
2022-12-12
·
Atualizado
2022-12-15
·
CVE-2022-4311
CVSS v2.0
6.8
Média
| Vetor | AV:N/AC:L/Au:S/C:C/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões 15 a 15.2.2 do PcVue
Descrição
Existe uma falha que faz com que informações confidenciais sejam inseridas em arquivos de log, permitindo potencialmente que usuários com acesso a esses logs descubram cadeias de conexão de fontes de dados configuradas para o DbConnect, o que pode incluir credenciais. Isso pode levar ao acesso não autorizado às fontes de dados subjacentes.
Recomendações
Para as versões 15 a 15.2.2 do PcVue, considere restringir o acesso aos arquivos de log para minimizar o risco de divulgação de informações confidenciais até que um patch esteja disponível. Como solução alternativa temporária, limite o uso do recurso DbConnect para reduzir a exposição de credenciais. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Insertion into Log File
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Pcvue