PT-2024-15265 · Kiteworks · Kiteworks Owncloud
Pascal_Geuter
·
Publicado
2024-10-01
·
Atualizado
2024-10-04
·
CVE-2023-7273
CVSS v3.1
6.8
Média
| Vetor | AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Kiteworks OwnCloud (versões afetadas não especificadas)
Descrição
Uma vulnerabilidade de falsificação de solicitação entre sites (CSRF) no Kiteworks OwnCloud permite que um invasor não autenticado falsifique solicitações. Se uma solicitação não possuir um cabeçalho de autorização, ele é criado com uma string vazia como valor por uma regra de reescrita. A verificação CSRF é feita comparando o valor do cabeçalho com nulo, o que significa que a verificação CSRF existente é contornada neste caso. Um invasor pode, por exemplo, criar uma nova conta de administrador se a solicitação for executada no navegador de uma vítima autenticada.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Kiteworks Owncloud