CVE-2024-39341

Software Entrust Instant Financial Issuance (On Premise) nas versões 6.10.0, 6.9.0, 6.9.1, 6.9.2 e 6.8.x e anteriores

O problema diz respeito a um arquivo de configuração, especificamente WebAPI.cfg.xml, que é deixado para trás após o processo de instalação. Esse arquivo pode ser acessado sem autenticação na porta HTTP 80, adivinhando-se o caminho correto da raiz da web do IIS. Ele contém nomes e valores de parâmetros de configuração do sistema, incluindo valores de configuração confidenciais que estão criptografados.

Para as versões 6.10.0, 6.9.0, 6.9.1, 6.9.2 e 6.8.x e anteriores, considere restringir o acesso ao arquivo WebAPI.cfg.xml para impedir o acesso não autorizado até que um patch esteja disponível.

Como solução alternativa temporária, restrinja o acesso à porta HTTP 80 para minimizar o risco de exploração.

Evite usar caminhos da raiz da web do IIS que possam ser adivinhados para arquivos de configuração confidenciais até que o problema seja resolvido.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.