PT-2026-35714 · Minerva · Minerva
Publicado
2026-04-28
·
Atualizado
2026-05-05
·
CVE-2026-5779
CVSS v4.0
9.4
Crítica
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:L/SC:H/SI:H/SA:H |
Nome do Software Vulnerável e Versões Afetadas
Minerva versão 3.6.0
Descrição
Um problema de referência direta insegura a objeto (IDOR) existe no endpoint '/minerva/user/updateUserProfile'. Este controle de acesso inadequado permite que um usuário autenticado modifique os perfis de outros usuários registrados, incluindo a alteração de seus endereços de e-mail. Subsequentemente, um invasor pode usar o endpoint '/webconnect/#/forgotPassword' para solicitar uma nova senha, levando potencialmente ao controle total da conta.
Recomendações
Atualize a versão 3.6.0 do Minerva para uma versão corrigida.
Restrinja o acesso ao endpoint '/minerva/user/updateUserProfile' para garantir que os usuários possam modificar apenas os dados de seu próprio perfil.
Correção
Improper Access Control
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Minerva