PT-2024-24139 · Unknown · Reportico Web
Aashiqahamedno
·
Publicado
2024-05-14
·
Atualizado
2024-07-03
·
CVE-2024-31556
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Reportico Web anteriores à 8.1.0
Descrição
A falha permite que um invasor local execute código arbitrário e obtenha informações confidenciais por meio da função
sessionid. Essa vulnerabilidade decorre da falha da aplicação web em invalidar corretamente os cookies de sessão ao fazer logout, permitindo que um invasor explore o cookie de sessão ativo e execute ações não autorizadas.Recomendações
Para versões anteriores à 8.1.0, atualize para a versão 8.1.0 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à função
sessionid até que um patch esteja disponível. Além disso, certifique-se de que os cookies de sessão sejam devidamente invalidados ao fazer logout para minimizar o risco de exploração.Correção
Improper Privilege Management
Insufficient Session Expiration
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Reportico Web