PT-2026-44762 · Network Optix · Nxwitness Vms

Publicado

2026-05-29

·

Atualizado

2026-05-29

·

CVE-2026-10056

CVSS v3.1

7.5

Alta

VetorAV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas Nx Witness VMS versões anteriores a 6.1.2
Descrição Uma configuração incorreta de CORS na API REST ocorre quando o software é executado no modo de segurança Padrão (Standard) em Linux e Windows. Isso permite que um invasor remoto não autenticado roube o token de sessão de um usuário autenticado e realize a Assunção de Conta de Administrador (Administrator Account Takeover) ao induzir a vítima a visitar uma página web maliciosa de origem cruzada. O Cross-Origin Resource Sharing (CORS) é um mecanismo que permite que recursos restritos em uma página web sejam solicitados de outro domínio fora do domínio de onde o primeiro recurso foi servido.
Recomendações Atualize para a versão 6.1.2 ou posterior. Como alternativa temporária para instalações no modo de segurança Padrão, defina Access-Control-Allow-Credentials como false enviando uma requisição PATCH para o endpoint "/rest/v2/system/settings" com o corpo {"supportedOrigins": "null"}. Selecione o nível de segurança Alto (High) durante a configuração inicial.

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-10056

Produtos afetados

Nxwitness Vms