PT-2024-16715 · Unknown · Intelligent Apps Freenow App
Secuserx
·
Publicado
2024-11-08
·
Atualizado
2024-11-23
·
CVE-2024-11026
CVSS v3.1
7.4
Alta
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Aplicativo Intelligent Apps Freenow, versão 12.10.0
Descrição
Foi detectado um problema no aplicativo Intelligent Apps Freenow, afetando alguma funcionalidade desconhecida do arquivo ch/qos/logback/core/net/ssl/SSL.java do componente Keystore Handler. A manipulação do argumento
DEFAULT KEYSTORE PASSWORD com a entrada changeit leva ao uso de uma senha codificada. O ataque pode ser lançado remotamente, com complexidade bastante alta e exploração difícil. A vulnerabilidade foi divulgada ao público e pode ser explorada. O fornecedor foi contatado antecipadamente sobre essa divulgação, mas não respondeu de forma alguma.Recomendações
Como solução temporária, considere restringir o acesso ao componente Keystore Handler até que um patch esteja disponível. Atualize o aplicativo imediatamente para mitigar o risco de acesso não autorizado. Monitore por sinais de comprometimento.
Exploit
Correção
Using Hardcoded Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Intelligent Apps Freenow App