CVE-2024-53855

Nome do software vulnerável e versões afetadas:

Versões do Centurion ERP anteriores à 1.3.1

Descrição:

Um usuário com permissões de visualização para um ticket pode visualizar os tickets de outra organização da qual não faz parte, caso possua permissões específicas, tais como view ticket change, view ticket incident, view ticket request ou view ticket problem. Este problema se aplica ao navegar pelos endpoints da API para os tickets em questão e não afeta a interface do usuário do Centurion nem as Tarefas do Projeto.

Recomendações:

Para versões anteriores à 1.3.1, atualize para a versão 1.3.1 para resolver o problema.

Como solução alternativa temporária, considere remover as permissões de visualização de tickets dos usuários para mitigar essa vulnerabilidade.