PT-2024-28006 · Nato · Nato Nci Anet
Andy Olchawa
+1
·
Publicado
2024-07-17
·
Atualizado
2024-11-07
·
CVE-2024-38446
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
NATO NCI ANET versão 3.4.1
Descrição
O problema diz respeito ao tratamento incorreto da propriedade dos relatórios. Um usuário pode criar um relatório e alterar seu autor para qualquer usuário arbitrário sem o consentimento ou conhecimento deste. Isso é feito através da modificação do UUID em uma solicitação POST, contornando as restrições impostas pela interface do usuário.
Recomendações
Para a NATO NCI ANET versão 3.4.1, como solução temporária, considere restringir o acesso ao recurso de criação de relatórios até que uma correção esteja disponível. Além disso, monitore de perto as alterações na propriedade dos relatórios para detectar quaisquer possíveis modificações não autorizadas. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
IDOR
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Nato Nci Anet