PT-2024-7262 · Microsoft+1 · Exchange Server+2
Oleg Labyntsev
+1
·
Publicado
2024-04-23
·
Atualizado
2024-11-05
·
CVE-2024-34891
CVSS v3.1
6.8
Média
| Vetor | AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
1C-Bitrix Bitrix24 versão 23.300.100
Descrição
O problema está relacionado à proteção insuficiente das credenciais nas configurações do servidor DAV, permitindo que administradores remotos leiam senhas de contas do Exchange por meio de uma solicitação HTTP GET. Isso pode permitir que um invasor remoto obtenha acesso aos dados de autenticação do Microsoft Exchange Server.
Recomendações
Para o 1C-Bitrix Bitrix24 versão 23.300.100, considere restringir o acesso às configurações do servidor DAV para minimizar o risco de exploração. Como solução temporária, evite usar as configurações do servidor DAV até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Insufficiently Protected Credentials
Cleartext Storage of Sensitive Information
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Bitrix24
Bitrix
Exchange Server