PT-2024-21959 · Unknown · Corezoid Process Engine
Nscan9
·
Publicado
2024-04-11
·
Atualizado
2024-11-14
·
CVE-2024-27592
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L |
Nome do software vulnerável e versões afetadas
Corezoid Process Engine versão 6.5.0
Descrição
A vulnerabilidade permite que invasores redirecionem usuários para sites arbitrários ao anexar um link malicioso ao endpoint
/login/ na URL da página de login. Isso pode ser explorado adicionando-se um link malicioso à página de login, o que pode levar a ataques de phishing ou outras atividades maliciosas.Recomendações
Para o Corezoid Process Engine versão 6.5.0, considere restringir o acesso ao endpoint
/login/ até que uma correção esteja disponível ou aplique alterações de configuração para impedir redirecionamentos para sites externos. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
Open Redirect
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Corezoid Process Engine