PT-2024-22677 · Xibo · Xibo
Saadet-T
·
Publicado
2024-04-12
·
Atualizado
2024-04-15
·
CVE-2024-29023
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Xibo anteriores à 3.3.10
Versões do Xibo anteriores à 4.0.9
Versão 1.8 do Xibo
Versão 2.3 do Xibo
Descrição
O Xibo é uma plataforma de sinalização digital de código aberto que inclui um sistema de gerenciamento de conteúdo web e um software reprodutor para Windows. Os tokens de sessão são expostos no retorno da chamada da API de pesquisa de sessão na página de sessões. Consequentemente, eles podem ser extraídos e usados para sequestrar uma sessão. Os usuários devem ter acesso à página de sessões ou ser superadministradores.
Recomendações
Para versões do Xibo anteriores à 3.3.10, atualize para a versão 3.3.10.
Para versões do Xibo anteriores à 4.0.9, atualize para a versão 4.0.9.
Para a versão 1.8 do Xibo, aplique o patch a81044e6ccdd92cc967e34c125bd8162432e51bc.diff.
Para a versão 2.3 do Xibo, aplique o patch ebeccd000b51f00b9a25f56a2f252d6812ebf850.diff.
Como solução temporária, considere restringir o acesso à página de sessões para minimizar o risco de exploração.
Exploit
Correção
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Xibo