PT-2024-29716 · Retool · Retool

6Mile

Publicado

2024-08-21

Atualizado

2024-08-26

CVE-2024-42056

CVSS v3.1

6.5

Média

Vetor

AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Nome do software vulnerável e versões afetadas

Retool (versão empresarial auto-hospedada) versões 3.18.1 a 3.40.0

Descrição

A vulnerabilidade permite que um invasor autenticado descubra as credenciais de usuários com permissões de “Uso” por meio do endpoint “/api/resources”. Isso ocorre devido à inserção de credenciais de autenticação de recursos nos dados enviados.

Recomendações

Para as versões 3.18.1 a 3.40.0, considere restringir o acesso ao endpoint “/api/resources” até que uma correção esteja disponível. Como solução temporária, limite as permissões dos usuários para impedir a exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Insertion into Log File

CSRF

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-532CWE-352

Identificadores relacionados

CVE-2024-42056

Produtos afetados

Retool

PT-2024-29716 · Retool · Retool

CVE-2024-42056

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 7