PT-2024-31588 · Unknown · Janto Ticketing
Alejandro Amorín Niño
·
Publicado
2024-05-07
·
Atualizado
2024-05-07
·
CVE-2024-4538
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Software de gerenciamento de ingressos Janto, versão 4.3r10
Descrição
A falha permite que um usuário remoto obtenha o ingresso de um evento de um usuário ao criar uma solicitação específica com o
ID de referência do ingresso, levando à exposição de dados confidenciais do usuário. Isso se deve a uma vulnerabilidade de referência direta a objetos insegura (IDOR).Recomendações
Para a versão 4.3r10, considere restringir o acesso ao
ID de referência do ingresso para impedir o acesso não autorizado aos ingressos de eventos até que uma correção esteja disponível. Como solução alternativa temporária, evite usar o ID de referência do ingresso em solicitações para minimizar o risco de exploração.Correção
IDOR
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Janto Ticketing