CVE-2024-53355

Nome do Software Vulnerável e Versões Afetadas EasyVirt DCScope versões 8.6.0 e anteriores EasyVirt CO2Scope versões 1.3.0 e anteriores

Descrição A vulnerabilidade permite que atacantes autenticados remotos com baixos privilégios realizem várias ações não autorizadas. Isso inclui adicionar um usuário administrador via rota "/api/user/addalias", modificar um usuário via rota "/api/user/updatealias", excluir usuários via rota "/api/user/delalias" e obter usuários via rota "/api/user/aliases". Além disso, os atacantes podem adicionar um grupo root via rota "/api/user/adduser", modificar um grupo via rota "/api/user/updateuser", excluir um grupo via rota "/api/user/deluser" e obter grupos via rota "/api/user/users". Eles também podem adicionar uma função de administrador via rota "/api/user/addrole", modificar uma função via rota "/api/user/updaterole", excluir uma função via rota "/api/user/delrole" e obter funções via rota "/api/user/roles".

Recomendações Para as versões 8.6.0 e anteriores do EasyVirt DCScope, atualize para uma versão superior à 8.6.0 para resolver o problema. Para as versões 1.3.0 e anteriores do EasyVirt CO2Scope, atualize para uma versão superior à 1.3.0 para resolver o problema. Como solução temporária, considere restringir o acesso aos endpoints de API vulneráveis, como "/api/user/addalias", "/api/user/updatealias", "/api/user/delalias", "/api/user/aliases", "/api/user/adduser", "/api/user/updateuser", "/api/user/deluser", "/api/user/users", "/api/user/addrole", "/api/user/updaterole", "/api/user/delrole" e "/api/user/roles", até que uma correção esteja disponível.