CVE-2025-30236

Nome do Software Vulnerável e Versões Afetadas Versões do Shearwater SecurEnvoy SecurAccess anteriores à 9.4.515

Descrição A falha permite autenticação apenas por meio de um código TOTP de seis dígitos, ignorando a verificação de senha, se uma requisição HTTP POST contiver um parâmetro SESSION. Isso está relacionado ao controle externo de parâmetros web presumidos como imutáveis.

Recomendações Para versões anteriores à 9.4.515, atualize para a versão 9.4.515 ou posterior para resolver o problema. Como medida de contorno, considere restringir o acesso ao endpoint de autenticação para minimizar o risco de exploração. Evite utilizar o parâmetro SESSION em requisições HTTP POST até que o problema seja resolvido.