PT-2024-32280 · Apache · Apache Roller
Chi Tran
·
Publicado
2024-10-13
·
Atualizado
2024-11-01
·
CVE-2024-46911
CVSS v3.1
4.7
Média
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:L |
Nome do software vulnerável e versões afetadas
Versões do Apache Roller anteriores à 6.1.4
Descrição
Existe uma vulnerabilidade de falsificação de recursos entre sites (CSRF) e de escalonamento de privilégios no Apache Roller. Em sites do Roller com vários blogs ou usuários, os proprietários dos blogs têm, por padrão, permissão para publicar conteúdo arbitrário. Isso, combinado com uma deficiência nas proteções contra CSRF do Roller, permite um ataque de escalonamento de privilégios.
Recomendações
Para resolver o problema, atualize para a versão 6.1.4, que corrige a falha. Como solução temporária, considere restringir o acesso a áreas confidenciais do aplicativo para minimizar o risco de exploração.
Correção
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Roller