PT-2024-7861 · Unknown · Orchid Platform
Catferq
·
Publicado
2024-10-29
·
Atualizado
2024-11-12
·
CVE-2024-51992
CVSS v4.0
5.1
Média
| Vetor | AV:N/AC:L/AT:N/PR:H/UI:N/VC:L/VI:N/VA:N/SC:L/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões 8 a 14.42.x da Orchid Platform
Descrição
A vulnerabilidade consiste em um problema de exposição de métodos na funcionalidade modal assíncrona da Plataforma Orchid, permitindo que invasores chamem métodos arbitrários dentro da classe
Screen. Isso pode levar a ataques de força bruta contra tabelas de banco de dados, verificações de validação de credenciais de usuário e divulgação do endereço IP real do servidor.Recomendações
Para as versões 8 a 14.42.x da Orchid Platform, atualize para a versão 14.43.0 ou posterior para resolver este problema.
Se a atualização para a versão 14.43.0 não for possível imediatamente, implemente um middleware para interceptar e validar solicitações a endpoints modais assíncronos, permitindo apenas métodos e parâmetros aprovados, como o middleware de exemplo fornecido
PreventBruteForceOnAsyncRoute.Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Orchid Platform