PT-2025-34858 · Unknown · Verifyuserbythrustedservice
Maciej Kazulak
·
Publicado
2025-08-27
·
Atualizado
2025-08-27
·
CVE-2025-30064
CVSS v4.0
8.8
Alta
| Vetor | AV:L/AC:H/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H |
Nome do Software Vulnerável e Versões Afetadas:
versões anteriores à 2.3
Descrição:
Uma função interna insuficientemente protegida permite a geração de sessão para usuários arbitrários. A função
decodeParam verifica o JWT, mas não verifica qual algoritmo de assinatura foi utilizado. Um atacante pode usar o parâmetro ex:action na função VerifyUserByThrustedService para gerar uma sessão para qualquer usuário.Recomendações:
Atualize para uma versão anterior à 2.3.
Como solução temporária, considere restringir o uso da função
VerifyUserByThrustedService até que uma correção esteja disponível.
Evite usar o parâmetro ex:action até que o problema seja resolvido.Correção
Hidden Functionality
Improper Verification of Cryptographic Signature
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Verifyuserbythrustedservice