PT-2025-52448 · Unknown · Turms Im Server
Xzzz111
·
Publicado
2025-12-19
·
Atualizado
2026-01-02
·
CVE-2025-66911
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas
Versões do Turms IM Server anteriores à 0.10.0-SNAPSHOT
Descrição
O software contém uma falha no controle de acesso relacionada à consulta do status online do usuário. Um usuário autenticado pode acessar o status online, as informações do dispositivo e os carimbos de data/hora de login de qualquer usuário sem autorização. O método
handleQueryUserOnlineStatusesRequest() no arquivo UserServiceController.java é afetado.Recomendações
Atualize para uma versão superior à 0.10.0-SNAPSHOT.
Exploit
Correção
Improper Access Control
IDOR
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Turms Im Server