CVE-2025-24968

Nome do Software Vulnerável e Versões Afetadas: Versões do reNgine até e incluindo a 2.20

Descrição: Uma vulnerabilidade de exclusão de projetos sem restrição no reNgine permite que atacantes com funções específicas, como penetration tester ou auditor, excluam todos os projetos no sistema. Isso pode levar a uma tomada de controle completa do sistema ao redirecionar o atacante para a página de onboarding, onde ele pode adicionar ou modificar usuários, incluindo Administradores do Sistema, e configurar definições críticas, como chaves de API e preferências de usuário.

Recomendações: Para as versões até e incluindo a 2.20, atualize para a versão 2.21 para corrigir o problema. Como solução temporária, considere restringir o acesso às funções penetration tester e auditor para minimizar o risco de exploração. Restrinja o acesso à página de onboarding para impedir que atacantes adicionem ou modifiquem usuários e configurem definições críticas. Evite utilizar a funcionalidade vulnerável de exclusão de projetos até que o problema seja resolvido.