PT-2024-17656 · Open Design Alliance · Open Design Alliance Cde Inweb Sdk
Dhiyaneshdk
+1
·
Publicado
2024-12-12
·
Atualizado
2025-09-08
·
CVE-2024-12564
CVSS v4.0
6.9
Média
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:L/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
Nome do software vulnerável e versões afetadas
Versões do Open Design Alliance CDE inWEB SDK anteriores à 2025.3
Descrição
Foi descoberta uma vulnerabilidade que permite a exposição de informações confidenciais a um agente não autorizado. A instalação do CDE Server com as configurações padrão permite que usuários não autorizados acessem a página de métricas do Prometheus, o que pode ajudar os invasores a compreender melhor a aplicação alvo e facilitar investigações e explorações posteriores.
Recomendações
Para versões anteriores à 2025.3, considere desativar o acesso à página de métricas do Prometheus como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao CDE Server para minimizar o risco de exploração. Evite usar as configurações padrão ao instalar o CDE Server. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Incorrect Default Permissions
Information Disclosure
Incorrect Permission
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Open Design Alliance Cde Inweb Sdk