CVE-2018-25133

Nome do Software Vulnerável e Versões Afetadas Synaccess netBooter NP-0801DU versão 7.4

Descrição O software contém uma condição de falsificação de solicitação entre sites (CSRF) que pode permitir que invasores realizem ações administrativas sem validação suficiente da requisição. Um invasor pode criar páginas web maliciosas com envios de formulário ocultos para adicionar usuários administradores, enganando administradores autenticados para carregar uma página maliciosa. O endpoint da API usado para adicionar usuários administradores está suscetível a esse problema. A ação vulnerável envolve enganar um administrador autenticado para realizar uma ação, como enviar um formulário, em um site malicioso.

Recomendações Aplique validação de entrada a todas as requisições administrativas. Garanta que a validação adequada de requisição seja implementada para prevenir ações não autorizadas.