PT-2025-4789 · Pwndoc · Pwndoc
Jorianwoltjer
·
Publicado
2025-01-20
·
Atualizado
2025-01-20
·
CVE-2025-23044
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N |
Nome do Software Vulnerável e Versões Afetadas
Versões do PwnDoc anteriores à versão que inclui o commit 14acb704891245bf1703ce6296d62112e85aa995
Descrição
O PwnDoc é um gerador de relatórios de testes de penetração que não possui proteção CSRF, permitindo que atacantes enviem solicitações em nome de um usuário autenticado. Isso inclui solicitações GET e POST devido à ausência do atributo SameSite= nos cookies e à capacidade de renovar cookies.
Recomendações
Para versões anteriores à versão que inclui o commit 14acb704891245bf1703ce6296d62112e85aa995, atualize para uma versão que inclua este commit para resolver o problema. Como solução temporária, considere implementar medidas de segurança adicionais para proteger contra ataques CSRF, como validar origens de solicitação ou utilizar um token CSRF.
Exploit
Correção
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Pwndoc