CVE-2024-45793

Nome do software vulnerável e versões afetadas:

Versões do Confidant anteriores à 6.6.2

Descrição:

O problema é uma vulnerabilidade de script entre sites (XSS) que afeta vários pontos de extremidade da API no Confidant, um serviço de gerenciamento de segredos de código aberto. Esses endpoints incluem GET /v1/credentials, GET /v1/credentials/, GET /v1/archive/credentials/, GET /v1/archive/credentials, POST /v1/credentials, PUT /v1/credentials/, PUT /v1/credentials//<to revision>, GET /v1/services, GET /v1/services/, GET /v1/archive/services/, GET /v1/archive/services, PUT /v1/services/ e PUT /v1/services//<to revision>. Um invasor precisa estar autenticado e ter privilégios para criar novas credenciais a fim de explorar essa vulnerabilidade, o que poderia permitir que ele exibisse informações e executasse scripts em outros usuários dentro da mesma instância do Confidant.

Recomendações:

Para versões anteriores à 6.6.2, atualize para a versão 6.6.2 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso aos pontos de extremidade da API vulneráveis até que a atualização possa ser aplicada. Evite usar os pontos de extremidade afetados para criar ou gerenciar credenciais e serviços até que o problema seja resolvido. Não há soluções alternativas conhecidas para esta vulnerabilidade além da atualização para a versão corrigida.