CVE-2024-50671

Nome do software vulnerável e versões afetadas:

Adapt Learning Adapt Authoring Tool, versões <= 0.11.3

Descrição:

O problema está relacionado a um controle de acesso incorreto, permitindo que invasores com funções de Usuário Autenticado obtenham endereços de e-mail por meio do recurso “Obter usuários”. Isso ocorre devido a uma falha na lógica de verificação de permissões, em que o caractere curinga em URLs permitidas concede acesso indesejado a pontos de extremidade restritos a usuários com funções de Superadministrador, possibilitando que invasores divulguem os endereços de e-mail de todos os usuários.

Recomendações:

Para as versões <= 0.11.3 da Adapt Learning Adapt Authoring Tool, atualize para uma versão que corrija a falha na lógica de verificação de permissões para impedir o acesso não intencional a pontos finais restritos. Como solução alternativa temporária, considere restringir o acesso ao recurso “Obter usuários” apenas às funções de Superadministrador até que um patch esteja disponível.