PT-2024-39671 · Netadmin · Netadmin Iam
Tristao
·
Publicado
2024-10-04
·
Atualizado
2024-11-14
·
CVE-2024-9513
CVSS v3.1
3.7
Baixa
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Software Netadmin NetAdmin IAM, versões até 3.5
Descrição
Foi identificada uma vulnerabilidade no componente HTTP POST Request Handler, afetando especificamente o arquivo /controller/api/Answer/ReturnUserQuestionsFilled. A manipulação do argumento
username leva à exposição de informações por meio de uma discrepância. Essa vulnerabilidade pode ser explorada remotamente, com uma complexidade de ataque bastante alta e exploração difícil. A exploração foi divulgada ao público.Recomendações
Para as versões do Netadmin Software NetAdmin IAM até a 3.5, o fornecedor planeja lançar uma correção em meados de outubro de 2024. Como solução temporária, considere restringir o acesso ao endpoint da API /controller/api/Answer/ReturnUserQuestionsFilled ou desativar a manipulação do argumento
username até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.Exploit
Side Channel Attack
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Netadmin Iam