PT-2024-7264 · 1с · Bitrix24+1
Oleg Labyntsev
+1
·
Publicado
2024-04-23
·
Atualizado
2024-11-06
·
CVE-2024-34883
CVSS v3.1
6.8
Média
| Vetor | AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas:
1C-Bitrix Bitrix24 versão 23.300.100
Descrição:
O problema está relacionado à proteção insuficiente das credenciais nas configurações do servidor DAV, permitindo que administradores remotos leiam senhas de contas do servidor proxy por meio de uma solicitação HTTP GET. Isso expõe as credenciais, podendo levar a acesso não autorizado.
Recomendações:
Para a versão 23.300.100, considere restringir o acesso às configurações do servidor DAV para minimizar o risco de exploração até que uma correção esteja disponível. Como solução alternativa temporária, evite usar as senhas das contas do servidor proxy nas configurações do servidor DAV afetadas.
Correção
Insufficiently Protected Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Bitrix24
Bitrix