PT-2024-3648 · Apache+1 · Apache Lucene+1
Luis Manuel Alvarez Tapia
·
Publicado
2024-05-14
·
Atualizado
2024-07-07
·
CVE-2024-33647
CVSS v2.0
6.8
Média
| Vetor | AV:N/AC:L/Au:S/C:C/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Polarion ALM anteriores à 2404.0
Descrição
Foi identificada uma vulnerabilidade no mecanismo de consulta baseado no Apache Lucene do Polarion ALM, que carece de controles de acesso adequados. Isso poderia permitir que um usuário autenticado consultasse itens fora dos projetos a que tem permissão, potencialmente concedendo acesso não autorizado a funções restritas.
Recomendações
Para versões anteriores à 2404.0, atualize para a versão mais recente a fim de mitigar o risco associado ao acesso indevido por meio do mecanismo de consulta. Como solução temporária, considere restringir o acesso ao mecanismo de consulta até que um patch esteja disponível.
Correção
Improper Access Control
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Apache Lucene
Polarion Alm