CVE-2024-50672

Nome do software vulnerável e versões afetadas:

Adapt Learning Adapt Authoring Tool, versões <= 0.11.3

Descrição:

Uma vulnerabilidade de injeção NoSQL permite que invasores não autenticados redefinam senhas de contas de usuário e administrador por meio do recurso “Redefinir senha”. Isso ocorre devido à validação insuficiente da entrada do usuário usada como consulta na função find() do Mongoose, possibilitando o controle total da conta de administrador. Os invasores podem então fazer upload de um plugin personalizado para executar código remotamente (RCE) no servidor que hospeda a aplicação web.

Recomendações:

Para as versões <= 0.11.3 da Adapt Learning Adapt Authoring Tool, atualize para uma versão superior a 0.11.3 para resolver o problema. Como solução temporária, considere restringir o acesso ao recurso “Redefinir senha” até que um patch esteja disponível. Além disso, restrinja a capacidade de carregar plug-ins personalizados para minimizar o risco de execução remota de código.