漏洞标题
N/A
漏洞描述信息
LogRhythm平台管理器(PM)7.4.9 存在错误的访问控制。LogRhythm中的用户可以被分配不同的角色和权限,以限制他们能够交互的数据和服务。然而,对于基于WebSocket的通信到PM应用程序服务器,没有实施访问控制,该服务器将将请求转发给任何配置的后端服务器, regardless of whether the user's访问权限应该允许此。因此,即使是最低的特权用户也可以与安装了LogRhythm代理的后端组件进行交互。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
LogRhythm Platform Manager (PM) 7.4.9 has Incorrect Access Control. Users within LogRhythm can be delegated different roles and privileges, intended to limit what data and services they can interact with. However, no access control is enforced for WebSocket-based communication to the PM application server, which will forward requests to any configured back-end server, regardless of whether the user's access rights should permit this. As a result, even the most low-privileged user can interact with any back-end component that has a LogRhythm agent installed.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Logrhythm Platform Manager 安全漏洞
漏洞描述信息
Logrhythm Platform Manager是美国Logrhythm公司的一个Logrhyth应用的组件。该组件负责集中管理告警、通知和案例和安全事件管理。支撑实时仪表板,SmartResponse操作和报告。 LogRhythm Platform Manager (PM) 7.4.9 存在安全漏洞,该漏洞源于访问控制不正确。特权最低的用户也可以与安装了LogRhythm代理的任何后端组件进行交互。
CVSS信息
N/A
漏洞类别
其他