PT-2024-31691 · Unknown · Symphony Xts Web Trading
Mohit Gadiya
·
Publicado
2024-09-03
·
Atualizado
2024-09-07
·
CVE-2024-45588
CVSS v4.0
9.1
Crítica
| Vetor | AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas:
Symphony XTS Web Trading versão 2.0.0.1 P160
Descrição:
Esta vulnerabilidade existe devido a controles de acesso inadequados nas APIs do módulo de Preferências do aplicativo. Um invasor remoto autenticado poderia explorar essa falha manipulando parâmetros por meio de uma solicitação HTTP, levando ao acesso não autorizado e à modificação de informações confidenciais pertencentes a outros usuários.
Recomendações:
Para a versão 2.0.0.1 P160, considere restringir o acesso ao módulo Preferências até que um patch esteja disponível. Como solução temporária, evite usar os pontos de extremidade da API vulneráveis no módulo Preferências para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.
Correção
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Symphony Xts Web Trading