PT-2024-31653 · Apache · Apache Cloudstack
Arthur Souza
+1
·
Publicado
2024-10-15
·
Atualizado
2024-10-21
·
CVE-2024-45462
CVSS v3.1
7.1
Alta
| Vetor | AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas:
Versões do Apache CloudStack de 4.15.1.0 a 4.18.2.3
Versões do Apache CloudStack de 4.19.0.0 a 4.19.1.1
Descrição:
A operação de logout na interface web do CloudStack não encerra completamente a sessão do usuário, que permanece válida até expirar por tempo ou reinício do serviço de backend. Um invasor com acesso ao navegador de um usuário pode usar uma sessão não expirada para obter acesso aos recursos pertencentes à conta do usuário que efetuou o logout.
Recomendações:
Para as versões do Apache CloudStack 4.15.1.0 a 4.18.2.3, atualize para o Apache CloudStack 4.18.2.4 ou posterior.
Para as versões do Apache CloudStack 4.19.0.0 a 4.19.1.1, atualize para o Apache CloudStack 4.19.1.2 ou posterior.
Correção
Insufficient Session Expiration
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Cloudstack