CVE-2024-50633

Nome do Software Vulnerável e Versões Afetadas Versões do Indico de 3.2.9 a 3.3.5

Descrição Uma vulnerabilidade de Autorização Quebrada de Nível de Objeto (BOLA) permite que atacantes leiam ou acessem informações confidenciais ao enviar uma requisição POST manipulada ao componente "/api/principals". O fornecedor contesta essa questão, afirmando que o produto foi projetado para permitir que todos os usuários recuperem determinadas informações sobre outras contas de usuário.

Recomendações Para as versões do Indico de 3.2.9 a 3.3.5, como medida de contorno temporária, considere restringir o acesso ao componente "/api/principals" até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.