PT-2024-34702 · Wave · Wave
Mohit Gadiya
·
Publicado
2024-11-04
·
Atualizado
2024-11-22
·
CVE-2024-51559
CVSS v4.0
7.1
Alta
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:L/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Wave versão 2.0
Descrição
Este problema é causado por verificações de autorização inadequadas ou ausentes em determinados pontos de extremidade da API. Um invasor remoto autenticado poderia explorar essa vulnerabilidade manipulando os parâmetros de entrada da API para obter acesso não autorizado e realizar atividades maliciosas em contas de outros usuários.
Recomendações
Para a versão 2.0 do Wave, considere restringir o acesso aos pontos de extremidade da API vulneráveis até que uma correção esteja disponível. Como solução alternativa temporária, limite a manipulação dos parâmetros de entrada da API para impedir o acesso não autorizado.
Correção
IDOR
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Wave