CVE-2025-24899

Nome do Software Vulnerável e Versões Afetadas: Versões do reNgine anteriores à 2.2.0

Descrição: Uma vulnerabilidade foi descoberta no reNgine, na qual um atacante interno com qualquer função pode extrair informações sensíveis de outros usuários do reNgine. Após executar uma varredura e obter vulnerabilidades de um alvo, o atacante pode recuperar detalhes como username, password, email, role, first name, last name, status e activity information ao fazer uma requisição GET para "/api/listVulnerability/".

Recomendações: Para versões anteriores à 2.2.0, atualize para a versão 2.2.0 para resolver o problema. Como medida de contorno temporária, considere restringir o acesso ao endpoint "/api/listVulnerability/" até que a atualização seja aplicada. Evite utilizar informações sensíveis no endpoint da API afetado até que o problema seja resolvido.