PT-2025-22329 · Unknown · Proget Mdm
Marcin Węgłowski
·
Publicado
2025-05-21
·
Atualizado
2026-04-22
·
CVE-2025-1415
CVSS v4.0
5.1
Média
| Vetor | AV:A/AC:L/AT:N/PR:L/UI:N/VC:L/VI:N/VA:N/SC:L/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
Nome do Software Vulnerável e Versões Afetadas
Versões do Proget MDM anteriores à 2.17.5
Descrição
Um usuário com baixos privilégios pode obter informações sobre tarefas executadas em dispositivos controlados pelo Proget MDM, bem como detalhes dos dispositivos, como seus UUIDs. Para realizar o ataque, um invasor precisa conhecer um
task id, mas como se trata de um número inteiro de valor baixo e não há limite de solicitações que um invasor pode fazer a um endpoint vulnerável, o task id pode ser simplesmente obtido via força bruta.Recomendações
Para versões anteriores à 2.17.5, atualize para a versão 2.17.5 para resolver o problema. Como solução temporária (workaround), considere restringir o acesso ao endpoint vulnerável para minimizar o risco de exploração. Evite usar o parâmetro
task id no endpoint de API afetado até que o problema seja resolvido.Correção
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Proget Mdm