PT-2024-16416 · Knightliao · Disconf
Gaogaostone
+1
·
Publicado
2024-10-31
·
Atualizado
2024-11-01
·
CVE-2024-10620
CVSS v4.0
6.9
Média
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
Nome do software vulnerável e versões afetadas
knightliao Disconf versão 2.6.36
Descrição
Foi identificada uma falha crítica que afeta uma parte desconhecida do arquivo
/api/config/list do componente Configuration Center. Isso leva a uma autenticação incorreta e pode ser explorado remotamente. A exploração já foi divulgada publicamente e pode estar em uso.Recomendações
Para a versão 2.6.36, considere desativar o acesso ao endpoint
/api/config/list até que um patch esteja disponível. Restrinja o acesso ao componente Configuration Center para minimizar o risco de exploração. Evite usar esta versão até que uma versão corrigida seja lançada. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.Exploit
Correção
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Disconf