CVE-2024-24771

Versões do Open Forms anteriores à 2.2.9

Versões do Open Forms anteriores à 2.3.7

Versões do Open Forms anteriores à 2.4.5

Versões do Open Forms anteriores à 2.5.2

O Open Forms permite que os usuários criem e publiquem formulários inteligentes. O software contém uma vulnerabilidade de autenticação multifatorial que não pode ser explorada. Se um invasor conseguir se autenticar no Open Forms e comprometer as credenciais de um superusuário (nome de usuário + senha), ele poderá potencialmente contornar a autenticação de segundo fator. Isso poderia permitir que o invasor visualizasse dados de envio potencialmente confidenciais ou se passasse por outras contas de funcionários para visualizar e/ou modificar dados. Existem fatores atenuantes, incluindo a página de login padrão em “/admin/login/”, que exige que o segundo fator seja fornecido com sucesso; uma página de login mal configurada e não protegida por MFA em “/api/v2/api-authlogin/”, que não pode ser usada para fazer login; e a ausência de outras formas de login. Os mantenedores do Open Forms não acreditam que seja ou tenha sido possível realizar esse login.

Para versões anteriores à 2.2.9, atualize para a versão 2.2.9 ou posterior.

Para versões anteriores à 2.3.7, atualize para a versão 2.3.7 ou posterior.

Para versões anteriores à 2.4.5, atualize para a versão 2.4.5 ou posterior.

Para versões anteriores à 2.5.2, atualize para a versão 2.5.2 ou posterior.

Como solução alternativa temporária, considere restringir o acesso aos pontos de extremidade de autenticação da API (/api/v2/api-auth/login/) e aplique uma verificação de permissão personalizada ao fluxo de hijack para permitir apenas o segundo