CVE-2024-4447

Versões do software anteriores à 24.07.12

Versões do software 23.01.20 LTS até 23.01.19 LTS

Versões do software 23.10.24v13 LTS e anteriores

Versões do software 24.04.24v5 LTS e anteriores

O problema ocorre na ferramenta Sistema → Manutenção, onde a guia Usuários Conectados expõe dados de sessionId de todos os usuários por meio de chamadas da API Direct Web Remoting (UserSessionAjax.getSessionList.dwr). Essas informações, embora destinadas a administradores com permissões de “Entrar como”, podem ser utilizadas por administradores sem esse privilégio para se passar por outros usuários. O vetor de ataque é pequeno e requer permissões elevadas, mas seu perigo reside na ofuscação da atribuição, permitindo que administradores mal-intencionados tornem suas ações impossíveis de rastrear, como ao usar um ID de sessão para gerar um token de API.

Para versões anteriores à 24.07.12, atualize para a versão 24.07.12 ou posterior.

Para as versões 23.01.20 LTS a 23.01.19 LTS, atualize para a versão 23.01.20 LTS ou posterior.

Para as versões 23.10.24v13 LTS e anteriores, atualize para a versão 23.10.24v13 LTS ou posterior.

Para as versões 24.04.24v5 LTS e anteriores, atualize para a versão 24.04.24v5 LTS ou posterior.

Como solução alternativa temporária, considere restringir o acesso ao endpoint da API UserSessionAjax.getSessionList.dwr para minimizar o risco de exploração.