CVE-2024-48955_Overview# CVE-2024-48955_Overview
### Descrição:
Netadmin 4 IAM com falhas de controle de acesso.
Versão afetada: V4.030319
Sistema NetAdmin retorna para os dados com as funcionalidades no endpoint que "monta" os menus de funcionalidades, o retorno desta chamada não é criptografado
e como o sistema não valida a autorização da sessão, um atacante pode copiar o conteúdo do navegador de usuário com maior
privilegio tendo acesso as funcionalidades do usuário que o código foi copiado.
### Tipo de Vulnerabilidade
Broken Access Control
### CVSS Score e Vetores de Ataque
**Base Score:** 7.6
**Vectores:** https://www.first.org/cvss/calculator/3.1#CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L
### Validando vulnerabilidade:
Um atacante autenticado pode alterar o retomo da chamada que o sistema realiza para renderizar a tela do usuário, e assim ter acesso a funcionalidades administrativas.
## Solução
**Status da Correção**: [Em Homologação]
**Instruções para Mitigação**:
- Solicitar a atualização de versão junto ao fornecedor
**Referências**:
- CWE-863: Incorrect Authorization
- CWE-862: Missing Authorization
- CWE-284: Improper Access Control
- CWE-639: Authorization Bypass Through User-Controlled Key
[4.0K] /data/pocs/47b2a344f01abed35ffc9b3c6f1c81a8e6e66804
└── [1.2K] README.md
0 directories, 1 file