CVE-2024-56883

Nome do Software Vulnerável e Versões Afetadas Versões do SAGE DPW anteriores a 2024 12 001

Descrição A questão envolve controle de acesso inadequado no SAGE DPW. Os controles de acesso baseados em funções implementados nem sempre são aplicados no lado do servidor. Usuários do SAGE com baixos privilégios (função de funcionário) podem criar cursos externos para outros funcionários, mesmo não tendo a opção de fazer isso na interface do usuário. Isso pode ser feito modificando uma requisição válida para criar um curso, substituindo o ID do usuário atual no parâmetro id pelo ID de outro usuário.

Recomendações Para versões anteriores a 2024 12 001, como solução temporária, considere restringir o acesso à funcionalidade de criação de cursos para minimizar o risco de exploração. Adicionalmente, evite utilizar o parâmetro id no endpoint da API afetado até que a questão seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.