PT-2024-39578 · Eclipse · Eclipse Glassfish

Andrea Carlo Maria Dattola

+4

·

Publicado

2024-09-30

·

Atualizado

2024-10-07

·

CVE-2024-9329

CVSS v4.0

6.9

Média

VetorAV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N
Nome do software vulnerável e versões afetadas
Versões do Eclipse Glassfish anteriores à 7.0.17
Descrição
O parâmetro Host HTTP pode fazer com que a aplicação web redirecione para a URL especificada quando o endpoint solicitado for “/management/domain”. Ao alterar o valor da URL para um site malicioso, um invasor pode lançar com sucesso um esquema de phishing e roubar as credenciais do usuário.
Recomendações
Para versões do Eclipse Glassfish anteriores à 7.0.17, como solução temporária, considere restringir o acesso ao endpoint “/management/domain” até que uma correção esteja disponível. Evite usar o parâmetro Host HTTP no endpoint afetado para minimizar o risco de exploração. Atualize para a versão 7.0.17 ou posterior para resolver o problema.

Exploit

Correção

Open Redirect

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-233CWE-601

Identificadores relacionados

CVE-2024-9329
GHSA-JQ3F-MFMG-747X

Produtos afetados

Eclipse Glassfish