CVE-2020-37158

Nome do Software Vulnerável e Versões Afetadas AVideo Platform versão 8.1

Descrição O software apresenta uma vulnerabilidade de falsificação de solicitação entre sites (CSRF) que permite que atacantes redefinam senhas de usuários. Isso é possível explorando o mecanismo de recuperação de senha. Os atacantes podem criar solicitações maliciosas para o endpoint da API /recoverPass utilizando o token de recuperação do usuário para alterar as credenciais da conta sem precisar se autenticar. O parâmetro vulnerável é o token de recuperação do usuário.

Recomendações Aplique atualizações para resolver o problema na AVideo Platform versão 8.1. Como medida temporária, considere restringir o acesso ao endpoint da API /recoverPass para minimizar o risco de exploração.