PT-2024-9680 · Lunary · Lunary
Publicado
2024-10-29
·
Atualizado
2024-11-04
·
CVE-2024-7475
CVSS v4.0
9.3
Crítica
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Lunary versão 1.3.2
Descrição
O problema está relacionado a um controle de acesso insuficiente, permitindo que um invasor remoto comprometa a confidencialidade e a integridade das informações protegidas ao atualizar a configuração SAML. Isso pode levar à manipulação dos processos de autenticação, a solicitações de login fraudulentas e ao roubo de informações do usuário.
Recomendações
Para a versão 1.3.2, implemente controles de acesso adequados para garantir que a configuração SAML só possa ser atualizada por usuários autorizados. Como solução temporária, considere restringir o acesso à funcionalidade de atualização da configuração SAML até que um patch esteja disponível.
Exploit
Correção
Improper Access Control
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Lunary