CVE-2025-29556

Nome do Software Vulnerável e Versões Afetadas ExaGrid EX10 versões 6.3 a 7.0.1.P08

Descrição As versões 6.3 a 7.0.1.P08 do ExaGrid EX10 são suscetíveis a um problema de controle de acesso incorreto. A partir da versão 6.3, a ExaGrid implementou restrições para impedir que usuários com a função Admin criem ou modifiquem usuários com a função Security Officer sem a devida autorização. No entanto, uma falha no processo de criação de conta permite que um atacante contorne essas restrições através da manipulação de requisições de API. Um atacante com acesso Admin pode interceptar e modificar a requisição de API durante a criação do usuário, alterando parâmetros para atribuir a nova conta ao grupo ExaGrid Security Officers sem a aprovação necessária. A vulnerabilidade envolve a manipulação de requisições de API durante o processo de criação de usuários.

Recomendações ExaGrid EX10 versão 6.3: Restrinja o acesso ao endpoint da API de criação de usuário. ExaGrid EX10 versões 6.3 a 7.0.1.P08: Revise e valide cuidadosamente todas as requisições de API relacionadas à criação e modificação de usuários para garantir que as verificações de autorização adequadas sejam aplicadas.