PT-2024-23081 · Unknown · Evolution Controller
Adam Foster
·
Publicado
2024-04-14
·
Atualizado
2024-04-15
·
CVE-2024-29843
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Evolution Controller versões 2.04.560.31.03.2024 e anteriores
Descrição
A interface web do Evolution Controller apresenta um controle de acesso mal configurado no endpoint “MOBILE GET USERS LIST”, permitindo que um invasor não autenticado identifique todos os usuários e seus níveis de acesso.
Recomendações
Para as versões 2.04.560.31.03.2024 e anteriores, considere restringir o acesso ao endpoint “MOBILE GET USERS LIST” até que uma correção esteja disponível.
Como solução temporária, limite as informações divulgadas pelo endpoint “MOBILE GET USERS LIST” para minimizar o risco de exploração.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Improper Access Control
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Evolution Controller