PT-2024-21641 · Decidim · Decidim
Andreslucena
·
Publicado
2024-07-10
·
Atualizado
2024-07-11
·
CVE-2024-27090
CVSS v4.0
6.9
Média
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do Decidim anteriores à 0.27.6
Descrição
O Decidim é uma estrutura de democracia participativa, desenvolvida em Ruby on Rails. Se um invasor conseguir deduzir o slug ou a URL de um recurso não publicado ou privado, e esse recurso puder ser incorporado, alguns dados desse recurso poderão ser acessados.
Recomendações
Para versões anteriores à 0.27.6, atualize para a versão 0.27.6 para resolver o problema.
Como solução temporária, considere proibir o acesso através do seu servidor web às URLs que terminam em
/embed.html até que o problema seja resolvido.Exploit
Correção
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Decidim