PT-2024-28451 · Skilltree · Skilltree
Joebeeton
·
Publicado
2024-07-02
·
Atualizado
2024-07-03
·
CVE-2024-39326
CVSS v3.1
4.4
Média
| Vetor | AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do SkillTree anteriores à 2.12.6
Descrição
O problema diz respeito a uma vulnerabilidade de falsificação de solicitação entre sites (CSRF) no endpoint
/admin/projects/{projectname}/skills/{skillname}/video, que está sujeito a exploração devido à falta de medidas de mitigação de CSRF, como um sinalizador de mesmo site ou um token de CSRF. Isso permite que um invasor execute um ataque CSRF contra uma conta de administrador conectada, possibilitando a modificação de vídeos, legendas e textos de habilidades.Recomendações
Para versões anteriores à 2.12.6, atualize para a versão 2.12.6 para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint
/admin/projects/{projectname}/skills/{skillname}/video até que a atualização seja aplicada.Exploit
Correção
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Skilltree