PT-2024-36490 · Unknown · Oqtane Framework
Smitshah1518
·
Publicado
2024-12-20
·
Atualizado
2024-12-20
·
CVE-2024-55186
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
oqtane Framework versão 6.0.0
Descrição
Existe uma vulnerabilidade do tipo IDOR (Insecure Direct Object Reference), que permite que um usuário conectado acesse as mensagens da caixa de entrada de outros usuários manipulando o
ID de notificação na URL da solicitação. Ao alterar o ID de notificação, um invasor pode visualizar detalhes confidenciais de e-mails pertencentes a outros usuários.Recomendações
Para o oqtane Framework versão 6.0.0, considere restringir o acesso ao recurso de mensagens da caixa de entrada até que um patch esteja disponível ou implemente validação adicional para garantir que os usuários só possam acessar suas próprias mensagens da caixa de entrada. Como solução alternativa temporária, evite usar o
ID de notificação no endpoint da API afetado até que a vulnerabilidade seja resolvida.Exploit
Correção
Incorrect Authorization
IDOR
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Oqtane Framework