CVE-2024-13513

Nome do Software Vulnerável e Versões Afetadas Versões do Oliver POS até e incluindo a 2.4.2.3

Descrição A falha permite que atacantes não autenticados extraiam dados sensíveis, incluindo o clientToken do plugin, por meio da funcionalidade de log. Isso pode ser utilizado para alterar informações de conta de usuário, como e-mails e tipo de conta, e subsequentemente alterar as senhas das contas, resultando na tomada completa do site.

Recomendações Para as versões até e incluindo a 2.4.2.3, considere desativar a funcionalidade de log como uma solução temporária até que um patch esteja disponível. Restrinja o acesso aos arquivos de log existentes para minimizar o risco de exploração. Atualize para uma versão que corrija a funcionalidade de log e remova quaisquer arquivos de log vulneráveis existentes. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.