CVE-2024-50356

Nome do software vulnerável e versões afetadas:

Versões do Press anteriores àquela que contém o commit ba0007c28ac814260f836849bc07d29beea7deb6

Descrição:

O problema diz respeito a uma vulnerabilidade na redefinição de senha do Press, um aplicativo personalizado para o Frappe Cloud que gerencia vários serviços, incluindo infraestrutura, assinaturas e software como serviço (SaaS). Essa vulnerabilidade permite que qualquer pessoa com acesso à caixa de entrada de e-mail de um usuário redefina a senha, contornando efetivamente a autenticação de dois fatores (2FA). No entanto, observa-se que, mesmo que a senha seja redefinida, o invasor ainda não conseguiria fazer login se a 2FA estiver ativada. Apenas usuários que tenham a 2FA ativada são afetados por esse problema.

Recomendações:

Para versões anteriores àquela que contém o commit ba0007c28ac814260f836849bc07d29beea7deb6, atualize para uma versão que inclua esse commit para resolver o problema. Como solução temporária, considere restringir o acesso às caixas de entrada de e-mail associadas a contas que tenham a 2FA ativada para minimizar o risco de exploração da redefinição de senha.