CVE-2024-31842

Italtel Embrace versão 1.6.4

Foi detectada uma falha na aplicação web em que o token de acesso de um usuário autenticado é inserido em solicitações GET. A string de consulta da URL pode ser salva no histórico do navegador, transmitida por meio de Referers para outros sites, armazenada em logs da web ou registrada de outra forma em outras fontes. Se a string de consulta contiver informações confidenciais, como identificadores de sessão, os invasores poderão usar essas informações para lançar novos ataques. Como o token de acesso é enviado em solicitações GET, isso pode levar à apropriação total da conta.

Para o Italtel Embrace versão 1.6.4, considere desativar o uso de tokens de acesso em solicitações GET como uma solução temporária até que um patch esteja disponível. Restrinja o acesso a informações confidenciais e identificadores de sessão para minimizar o risco de exploração. Evite usar informações confidenciais em strings de consulta para URLs a fim de impedir possíveis registros no histórico do navegador, logs da web ou outras fontes. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.