PT-2024-8720 · Siemens · Sinec Ins
Publicado
2024-11-12
·
Atualizado
2024-11-12
·
CVE-2024-46894
CVSS v3.1
6.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L |
Nome do software vulnerável e versões afetadas
Versões do SINEC INS anteriores à V1.0 SP2 Update 3
Descrição
O problema está relacionado a um erro na verificação de autorização do usuário para o endpoint “/api/sftp/users”. Isso poderia permitir que um invasor remoto autenticado obtivesse acesso à lista de usuários configurados do serviço SFTP e também modificasse essa configuração.
Recomendações
Para versões anteriores à V1.0 SP2 Update 3, atualize para a V1.0 SP2 Update 3 ou posterior para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso ao endpoint “/api/sftp/users” até que um patch esteja disponível.
Evite usar o endpoint vulnerável para operações confidenciais até que o problema seja resolvido.
Correção
Incorrect Default Permissions
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Sinec Ins