PT-2025-22349 · Unknown · Proget Mdm
Marcin Węgłowski
·
Publicado
2025-05-21
·
Atualizado
2025-05-21
·
CVE-2025-1417
CVSS v4.0
4.6
Média
| Vetor | AV:A/AC:L/AT:P/PR:L/UI:N/VC:L/VI:N/VA:N/SC:H/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
Nome do Software Vulnerável e Versões Afetadas
Versões do Proget MDM anteriores à 2.17.5
Descrição
Um usuário com baixo privilégio pode acessar informações sobre alterações contidas em backups de todos os dispositivos gerenciados pelo MDM, incluindo IDs de usuário, endereços de e-mail, nomes, sobrenomes e UUIDs de dispositivo. O UUID do dispositivo pode ser usado para exploração adicional. A exploração bem-sucedida requer o UUID de um backup específico, que não pode ser obtido por força bruta.
Recomendações
Para versões anteriores à 2.17.5, atualize para a versão 2.17.5 ou posterior para resolver o problema. Como medida de contorno temporária, considere restringir o acesso às informações de backup para minimizar o risco de exploração.
Correção
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Proget Mdm