PT-2024-3862 · Onenav · Onenav
Glzjin
·
Publicado
2024-01-05
·
Atualizado
2024-05-17
·
CVE-2023-7210
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do OneNav até a 0.9.33
Descrição
Uma falha crítica afeta o componente API do OneNav, especificamente o arquivo /index.php?c=api. A manipulação do argumento
X-Token leva a uma autenticação incorreta, permitindo ataques remotos. Essa falha pode comprometer a confidencialidade, a integridade e a disponibilidade das informações protegidas.Recomendações
Para versões do OneNav até 0.9.33, considere desativar o endpoint da API “/index.php?c=api” ou restringir o acesso a ele até que uma correção esteja disponível. Além disso, evite usar o argumento
X-Token no endpoint da API afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Onenav