CVE-2022-35202

Nome do Software Vulnerável e Versões Afetadas Versões do Sitevision 10.3.1 e anteriores

Descrição Uma vulnerabilidade de segurança no Sitevision permite que um atacante remoto, em determinados cenários não padrão, obtenha acesso às chaves privadas usadas para assinar solicitações de autenticação SAML. O problema subjacente é um keystore Java que pode se tornar acessível e disponível para download via WebDAV. Este keystore é protegido por uma senha de baixa complexidade, gerada automaticamente.

Recomendações Para as versões do Sitevision 10.3.1 e anteriores, considere desabilitar o acesso WebDAV ao keystore Java como uma medida temporária até que uma correção esteja disponível. Restrinja o acesso ao keystore para minimizar o risco de exploração. Evite utilizar senhas geradas automaticamente para o keystore. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.