PT-2024-27739 · 14Finger · 14Finger

K3Ppf0R

·

Publicado

2024-07-05

·

Atualizado

2024-07-08

·

CVE-2024-37768

CVSS v3.1

9.1

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H
Nome do software vulnerável e versões afetadas
14Finger versão 1.1
Descrição
A vulnerabilidade permite a exclusão arbitrária de usuários por meio do endpoint da API “/api/admin/user?id”. Esse endpoint é utilizado para fins administrativos, e a vulnerabilidade pode ser explorada para excluir usuários sem a devida autorização.
Recomendações
Para a versão 1.1, considere desativar o acesso ao endpoint da API “/api/admin/user?id” até que uma correção esteja disponível para impedir a exploração. Restringir o uso do parâmetro id neste endpoint também pode ajudar a minimizar o risco.

Exploit

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Identificadores relacionados

CVE-2024-37768

Produtos afetados

14Finger