Nome do software vulnerável e versões afetadas:

ezsystems/ez-support-tools versão 2.2

Descrição:

A falha permite que um usuário sem permissões suficientes acesse as abas de informações do sistema digitando diretamente o link, mesmo que este não apareça no menu. Normalmente, a política “Configuração / Informações do sistema” deveria ser exigida para o acesso, mas, atualmente, basta apenas um login no backend. Isso significa que qualquer editor pode visualizar informações essenciais do sistema, incluindo a saída do phpinfo().

Recomendações:

Para o ezsystems/ez-support-tools versão 2.2, certifique-se de que a política de acesso esteja corretamente configurada para restringir o acesso às guias de informações do sistema, exigindo a política “Configuração / Informações do sistema” conforme previsto.