PT-2024-11003 · Janeczku · Calibre-Web
Publicado
2024-11-15
·
Atualizado
2024-11-19
·
CVE-2021-3986
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do janeczku/calibre-web anteriores à correção
Descrição
Uma vulnerabilidade no janeczku/calibre-web permite que usuários não autorizados visualizem os nomes de prateleiras privadas pertencentes a outros usuários. Esse problema ocorre no arquivo shelf.py, na linha 221, onde o nome da prateleira é exposto em uma mensagem de erro quando um usuário tenta remover um livro de uma prateleira que não lhe pertence. Essa vulnerabilidade divulga informações privadas.
Recomendações
Atualize para a versão mais recente para mitigar os riscos.
Como solução temporária, considere modificar o arquivo shelf.py para impedir a exposição de nomes de prateleiras privadas em mensagens de erro.
Restrinja o acesso ao arquivo shelf.py para minimizar o risco de exploração.
Exploit
Correção
Generation of Error Message Containing Sensitive Information
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Calibre-Web