MK-AUTH hasta 19.01 K4.9 permite a atacantes remotos obtener información confidencial (por ejemplo, un número CPF) a través de un valor de título modificado (también conocido como número de factura) al URI central recibo.php.
Una vulnerabilidad clasificada como problemática fue encontrada en MK-AUTH hasta 4.9 / 19.01 . Una función desconocida del archivo central / recibo.php es afectada por esta vulnerabilidad . A través de la manipulación del argumento titulocon un input desconocido se causa una vulnerabilidad de clase divulgación. CWE está clasificando el problema como CWE-200 . Esto tendrá un impacto en la confidencialidad.
La debilidad se presentó el 01/03/2021. Es posible leer el aviso en gist.github.com . Esta vulnerabilidad se identifica de forma única como CVE-2021-3005 . Es posible iniciar el ataque de forma remota. La explotación exitosa requiere una autenticación. Se conocen detalles técnicos y un exploit público.
Referencias:
https://gist.github.com/alacerda/3b925cb333eb839ae808d6f01642aeb3
Gracias por visitar este sitio, espero que te haya gustado y vuelvas proximamente, compartela en las redes sociales, gracias
