PT-2024-26112 · Unknown · Wows Karma
Bloodytakao
·
Publicado
2024-05-10
·
Atualizado
2024-05-14
·
CVE-2024-34695
CVSS v3.1
6.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:H |
Nome do software vulnerável e versões afetadas
Versões do WOWS Karma anteriores à 0.17.4.1
Descrição
A vulnerabilidade permite que um usuário contorne a validação do tempo de espera enviando várias solicitações de API de criação de postagem simultaneamente. Isso é feito clicando várias vezes no botão “criar” em uma janela de criação de postagem antes que o modal seja fechado. Embora as métricas do usuário não sejam atualizadas mais de uma vez devido às atualizações simultâneas do karma, a validação do tempo de espera é contornada.
Recomendações
Para versões anteriores à 0.17.4.1, atualize para a versão 0.17.4.1 para resolver o problema. Como solução alternativa temporária, considere restringir a capacidade de enviar várias solicitações de criação de postagem simultaneamente para minimizar o risco de exploração.
Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Wows Karma